Dropped traffico Cisco asa 5505
Moderatore: Federico.Lagni
-
Giannetto
- n00b
- Messaggi: 15
- Iscritto il: lun 27 mag , 2013 9:20 am
Buona sera a tutti ragazzi, mi chiamo Domenico, sono un nuovo utente del forum, piacere, vado subito al problema, ho un cisco asa 5505, non riesco a settare l'access rule con porte statiche in modo da riuscire a droppare il traffico cioè i pacchetti trasmessi, la procedura che esguo per il settaggio è la seguente, creo gli indirizzi della rete, creo le porte tcp che voglio utilizzare, creo una regola di nat mettendo come indirizzi d'origine quelli della rete, nella destinazione lascio any nel service lascio origine, come indirizzo di origine da traslare metto l'interfaccia outside come service l'indirizzo che ho creato e come destinazione lascio any, salvo e continuo, creo la regola nell'access rule mettendo come origine gli indirizzi interni e come destinazione l'interfaccia outside come service nei dati di destinazione la porta o le porte create da me in tcp e da questo punto in poi non riesco più a navigare, continuo vado nel service policy e creo l'ultima regola identica a quella dell'access rule che corrisponde alla vlan della rete che ho creato, il firewall inizia a droppare i pacchetti, lo vedo dai grafici, le macchine della rete mi danno il compiuterino come se fosserò connesse ma a conti fatti nessuna macchina riesce a navigare, chi mi sa dire cosa salto, è come se macasse un ultima regola di conessione, sono all'esaurimento, mi auguro che qualcuno sappia rispondere il prima possibile, grazie di tutto, a presto!
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Posta la conf che facciamo meglio....e nella sezione corretta 
Rizio
Rizio
Si vis pacem para bellum
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Sinceramente: una configurazione così incasinata non credo di averla mai vista.
Probabilmente sono salvo perchè non faccio il consulente però, anche in rete non credo di averla mai vista!
*/SPOT
Chi usa ASDM fà del male anche a te, digli di smettere!
SPOT/*
Cmq, sicuramente ti conviene editare il post che hai fatto eliminando sia la password di enable sia l'ip pubblico del device. Così ti sei esposto a chiunque abbia voglia di provare a forzare il tuo asa dandogli informazioni che NON devi mai dare in giro, men che meno su internet!!!
Venendo al problema, come ti dicevo la tua conf non riesco nemmeno a leggerla, figurati a capire cosa possa mancare.
In ogni caso, per quel poco che riesco a decifrare, mi sembra che l'access-list che tu chiami global sia applicata all'interfaccia GLOBAL che però non vedo presente da nessuna parte, e, sull'interfaccia OUTSIDE non ho visto applicata nessuna acl.
Per quanto riguarda la mancata navigazione direi che ti manca l'applicazione corretta del nat attraverso il comando global. Es
In ultimo non vedo minimamente traccia di istruzioni di routing. L'asa deve sapere dove mandare il traffico attraverso i comandi di routing inside|outside:
Non sò quali dei vari problemi possa impedirti di navigare ma la conf che hai postato mi dà tanto l'idea di qualcosa messa su senza partire dai 5 comandi fondamentali che permettono ad un asa di effettuare il proprio lavoro. Fossi in te io farei la copia di quella conf, cancellerei tutto e ripartirei da zero dalle basi. Se cerchi sul sito cisco ci sono i comandi fondamentali per mettere in piedi un asa che protegge la rete con le sue access-list e permette la navigazione attraverso il semplice nat.
Dopo, quando vedi che i tuoi client vanno in rete correttamente cominci con tutte le altre fighinate che hai nella conf vecchia. Una sezione alla volta, pianin pianino mantenedo però il controllo di quello che inserisci e capendo esattamente cosa fà. Poi decidi liberamente tu.
Rizio
Probabilmente sono salvo perchè non faccio il consulente però, anche in rete non credo di averla mai vista!
*/SPOT
Chi usa ASDM fà del male anche a te, digli di smettere!
SPOT/*
Cmq, sicuramente ti conviene editare il post che hai fatto eliminando sia la password di enable sia l'ip pubblico del device. Così ti sei esposto a chiunque abbia voglia di provare a forzare il tuo asa dandogli informazioni che NON devi mai dare in giro, men che meno su internet!!!
Venendo al problema, come ti dicevo la tua conf non riesco nemmeno a leggerla, figurati a capire cosa possa mancare.
In ogni caso, per quel poco che riesco a decifrare, mi sembra che l'access-list che tu chiami global sia applicata all'interfaccia GLOBAL che però non vedo presente da nessuna parte, e, sull'interfaccia OUTSIDE non ho visto applicata nessuna acl.
Per quanto riguarda la mancata navigazione direi che ti manca l'applicazione corretta del nat attraverso il comando global. Es
Codice: Seleziona tutto
global (outside) 1 interface
nat (inside) 1 RANGE_IP_RETE_INTERNA 255.255.255.0
Codice: Seleziona tutto
route NOME_INTERFACCIA_ESTERNA 0.0.0.0 0.0.0.0 IP_PUBBLICO 1
route NOME_INTERFACCIA_INTERNA 10.30.3.0 255.255.255.0 172.31.6.1 1Dopo, quando vedi che i tuoi client vanno in rete correttamente cominci con tutte le altre fighinate che hai nella conf vecchia. Una sezione alla volta, pianin pianino mantenedo però il controllo di quello che inserisci e capendo esattamente cosa fà. Poi decidi liberamente tu.
Rizio
Si vis pacem para bellum
-
Giannetto
- n00b
- Messaggi: 15
- Iscritto il: lun 27 mag , 2013 9:20 am
ciao rico, hai ragione, è diventata un bordello questa rete, cancello subito i dati, solo che ho un problema sono riuscito ad eseguire soltanto il primo dei quattro comandi che mi hai scritto, possiamo ragionare tramite asdm? o se no ti devo chiedere di spiegarmi i tre comanda restanti...te ne sarei grato...
-
Giannetto
- n00b
- Messaggi: 15
- Iscritto il: lun 27 mag , 2013 9:20 am
Rizio, sono dentro la macchina, credimi sto per esplodere, violazioni della rete a più non posso, avvoltoi sul cadavere, da quello che mi hai detto sono andato alla voce aaa rule ed ho creato una quarta regola identica a quella del access rule service policy e nat, ma niente da fare non esco su internet, ormai credo che rientrerai domani, possiamo ragionare prima tramite asdm, devo capire come creare una regola di access rule con porte statiche, cioè una regola di access rule che mi faccia navigare con porte ed indirizzi scelti da me, a domani, buona serata!
-
Giannetto
- n00b
- Messaggi: 15
- Iscritto il: lun 27 mag , 2013 9:20 am
Buon giorno Rizio, per lo meno mi servirebbe un esempio di comandi tramite porta console per configurare una regola di access rule con indirizzi e porte statiche, logicamente da una sola rete, che siano comandi completi, quindi configurazione di nat access rule e service policy, un esempio pratico, ti chiedo molto? come gia anticipato te ne sarei grato, credimi se non creo una regola valida di access rule con porte statiche e quindi inizio il dropped dei pacchetti continuerò ad avere delle intrusioni, settato come adesso blocca molte tentitivi d'intrusione alla rete ma ne passano alcuni e mi ritrovo quei maledetti a frugare nelle macchine...
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Ciao,
mi dispiace ma non uso mai ASDM perciò non ti riesco ad essere d'aiuto a questo punto. Ma non ti conviene comprare un'ora di un consulente? Secondo me fai molto prima e intanto risolvi la contingenza poi, con calma, ci guardi meglio.
Per l'asdm secondo me in rete trovi tutto comunque, hai provato a cercare sul sito cisco semplicemente "create access-rule asdm"? O magari su you tube.
Sorry.
Rizio
mi dispiace ma non uso mai ASDM perciò non ti riesco ad essere d'aiuto a questo punto. Ma non ti conviene comprare un'ora di un consulente? Secondo me fai molto prima e intanto risolvi la contingenza poi, con calma, ci guardi meglio.
Per l'asdm secondo me in rete trovi tutto comunque, hai provato a cercare sul sito cisco semplicemente "create access-rule asdm"? O magari su you tube.
Sorry.
Rizio
Si vis pacem para bellum
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Di che zona sei? In questo forum ci sono moltissimi ottimi tecnici che ti farebbero consulenza volentieri.
Rizio
Rizio
Si vis pacem para bellum
-
zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Confermo di lasciar perder ASDM...per assurdo puo' essere piu' complicato della linea di comando.
Cerca di tirare un bel respiro, dotati di un cavetto rollover pialla tutto e ricomincia da capo, postando pure qui che proviamo a darti una mano.
Cerca di tirare un bel respiro, dotati di un cavetto rollover pialla tutto e ricomincia da capo, postando pure qui che proviamo a darti una mano.
-
zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Qualunque apparato collegato ad internet subisce "attacchi" ...... spiega cosa intendi per "intrusioni"
