Buonasera a tutti, spero di non essere OT, ma premesso di essere un newbie in merito all'apparato in oggetto ho un disperato bisogno del vostro aiuto.
Vi espongo il mio problema, l'azienda per la quale lavoro ha venduto ad un proprio cliente un firewall CISCO ASA 5510, che dovrebbe servire a proteggere gli apparati di videoconferenza di quest'ultimo. L'apparato dovrebbe avere una configurazione minima di base ed il cliente chiede che questa venga implementata come segue:
Per l'APPARATO 1:
-------------------
Nattare l'IP Privato 10.41.42.120 con l'IP Pubblico 2.228.74.91 ed aprire le seguenti porte:
1719 UDP
1720 TCP
3089 TCP/UDP
4000-5000 TCP/UDP
2776-2777 TCP/UDP
Per l'APPARATO 2:
-------------------
Nattare l'IP Privato 10.41.42.119 con l'IP Pubblico 2.228.74.90 ed aprire le seguenti porte:
80 TCP
443 TCP
7070 TCP
10000-65535 UDP
NON SO DOVE METTERE LE MANI ed il mio capo mi sta chiedendo di risolvere al massimo per martedi prossimo. Chi volesse aiutarmi è ben accetto e ringrazio fin d'ora tutti per la collaborazione.
Grazie
ASA 5510 APPLIANCE
Moderatore: Federico.Lagni
-
Lucio1961
- n00b
- Messaggi: 2
- Iscritto il: ven 26 ott , 2012 3:06 pm
OK provo a fornire qualche altra indicazione nella speranza che qualcuno mi possa aiutare. Innanzitutto quoto la configurazione attuale:
ed allego le immagini dell'infrastruttura nelle versioni "attuale" (e funzionante) ed "in lavorazione" (che NON funziona).Cryptochecksum: 312e9cdb 53151cbc c55afcaa 9487b562
: Saved
: Written by enable_15 at 07:46:41.169 UTC Tue Oct 30 2012
!
ASA Version 8.4(4)1
!
firewall transparent
hostname FWRADCONF
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0/0
nameif outside
security-level 0
!
interface Ethernet0/1
nameif inside
security-level 100
!
interface Ethernet0/2
shutdown
no nameif
no security-level
!
interface Ethernet0/3
shutdown
no nameif
no security-level
!
interface Management0/0
nameif management
security-level 100
ip address 10.41.42.124 255.255.255.224
management-only
!
interface BVI1
no ip address
!
ftp mode passive
object network RouterFastweb
host 10.41.42.125
object network all
subnet 0.0.0.0 0.0.0.0
object network netradvision
subnet 10.41.42.96 255.255.255.224
description lan radvision
object network ScopiaDK
host 10.41.42.119
description scopia desktop
object network pathfinder
host 10.41.42.120
description radvision pathdinder
object service 10000-65535
service udp destination range 10000 65535
object service 1719
service udp destination eq 1719
object service 1720
service tcp destination eq h323
object service 7070
service tcp destination eq 7070
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
object-group service groupPF
description gruppo path finder
service-object object 1719
service-object object 1720
service-object tcp-udp destination range 2776 2777
service-object tcp-udp destination eq 3089
service-object tcp-udp destination range 4000 5000
object-group service portePF tcp-udp
description porte pathfinder
port-object eq 1719
port-object eq 1720
port-object range 2776 2777
port-object eq 3089
port-object range 4000 5000
object-group service serviziDK
description servizi desktop
service-object object 10000-65535
service-object object 7070
service-object tcp destination eq www
service-object tcp destination eq https
access-list inside_access_in extended permit ip any any
access-list outside_access_in extended permit ip any any
access-list global_access extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu management 1500
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
icmp permit any management
icmp permit any outside
icmp permit any inside
no asdm history enable
arp timeout 14400
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
access-group global_access global
route management 0.0.0.0 0.0.0.0 10.41.42.125 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 10.41.42.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
telnet timeout 5
ssh timeout 5
ssh key-exchange group dh-group1-sha1
console timeout 0
threat-detection basic-threat
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
threat-detection statistics tcp-intercept rate-interval 30 burst-rate 400 average-rate 200
username adminmgmt password ATZbn7G/8y.fG8B4 encrypted
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
call-home reporting anonymous prompt 1
hpm topN enable
Cryptochecksum:312e9cdb53151cbcc55afcaa9487b562
: end
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
-
Rizio
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Ciao,
nessuno ti ha ancora risposto perchè le cose che vuoi fare sono tante e troppe per uno che non ci ha mai messo le mani.
All'asa è deputata la sicurezza della tua rete e se lo metti su nella maniera sbagliata (Es. come nella tua conf con l'access-list "permit ip any any" su tutte le interfacce) puoi solo fare danni.
Personalmente il problema è quello, non è tanto darti la info sull'istruzione di nat o di routing ma è proprio il fatto che senza basi non sono le istruzioni che ti mancano ma il resto. Le istruzioni le trovi con una ricerca di 2 secondi su google, come implementare la sicurezza nella tua rete è un pò più difficile e per questo ti consiglierei di prendere un consulente, dopo magari vai avanti da solo però intanto parti con qualcuno che ti tiri su il minimo. Saranno i 300€ meglio spesi della tua azienda, fidaty
Rizio
nessuno ti ha ancora risposto perchè le cose che vuoi fare sono tante e troppe per uno che non ci ha mai messo le mani.
All'asa è deputata la sicurezza della tua rete e se lo metti su nella maniera sbagliata (Es. come nella tua conf con l'access-list "permit ip any any" su tutte le interfacce) puoi solo fare danni.
Personalmente il problema è quello, non è tanto darti la info sull'istruzione di nat o di routing ma è proprio il fatto che senza basi non sono le istruzioni che ti mancano ma il resto. Le istruzioni le trovi con una ricerca di 2 secondi su google, come implementare la sicurezza nella tua rete è un pò più difficile e per questo ti consiglierei di prendere un consulente, dopo magari vai avanti da solo però intanto parti con qualcuno che ti tiri su il minimo. Saranno i 300€ meglio spesi della tua azienda, fidaty
Rizio
Si vis pacem para bellum
