ASA5505 port forwarding

Jeg vil gerne forsøge, giv evt. en "show run" her. Husk lige at fjerne evt. ip addresser, brugernavne og passwords. (også dem der er krypteret!)

Super! Jeg har forsøgt at lave en opsætning til port 80 i nedenstående dump...
: Saved
:
ASA Version 8.3(2)
!
hostname ciscoasa
enable password xxxxx encrypted
passwd xxxxx encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
object service SERVER_SERVICES
service tcp source eq www destination eq www
object network SERVER01
host 192.168.1.2
object service SERVER01_SERVICES
service tcp source eq www destination eq www
access-list outside_access_in extended permit tcp any interface outside eq www
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat (inside,outside) source static SERVER01 interface service SERVER01_SERVICES SERVER01_SERVICES
!
object network obj_any
nat (inside,outside) dynamic interface
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.1.100-192.168.1.150 inside
dhcpd enable inside
!

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:f86d191131e8173d5127326b929e1651
: end

Sorry kender åbenbart ikke den her, forstår ikke halvdelen af de kommandoer :O

Hej Tom,

Jeg kan fortælle dig at Cisco har valgt at gøre det "Lettere" at lave NAT, med 8.3 i ASDM - Det er muligt dine NAT'inger IKKE fejler noget.

Dog skal jeg lige høre dig, når du siger fast IP - er det sådan at du får tildelt den samme IP fra ISP, eller skal du sætte den selv statisk? For der er en verden til forskel hos Cisco der :)

Hej klundz

Jeg "fatter" ikke helt 8.3, det er nok mig der ikke kan se budskabet ;-)

Jeg har en 8.2 som fungere men jeg vil nu gerne havde styr på 8.3 også.

Har talt med ISP, det skulle være rigtig fast-ID..

Hej Tom,

Du skal sørge for at fjerne "DHCP" fra outside interface - iflg. din config vil den requeste en IP, fra din udbyder - dernæst skal du sætte gateway of last resort op, for dit inside interface. Det kan gøres:

ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 <din WAN IP>

Kør dernæst en:
ciscoasa(config)# sh route
**********************
Gateway of last resort is <din WAN IP> to network 0.0.0.0


0.0.0.0 i Cisco's verden er lig med "Any" - om du skulle være i tvivl :)

Efter du har fjernet DHCP på Outside interface, skal du self. også sætte de stastiske informationer op, i henhold til de oplysninger din ISP giver dig :)

Såfremt du skal have IPen fra en ISP DHCP - så må du lige give mig besked her på, for så ligger dit problem ikke der :)

Hej Tom,

Jeg var sq nok lidt for hurtig på aftrækkeren(dårlig vane) mht. Gateway of last resort - er det således at du HAR internet adgang, fra inside -> outside (bare almindelig web browsing osv. f.eks.) Men det KUN er din NAT'ning der ikke virker fra Outside -> Inside??

Hej Tom,

Du får lige endnu et svar, hvis det er således du leder efter hvordan NAT sættes op i 8.3:

hostname(config)# object network <navn du kan huske på server>
hostname(config-network-object)# host <servers ip>
hostname(config-network-object)# nat (inside,outside) static interface service tcp 80 80

- I eksemplet opretter du et "object" som kunne være din webserver.
- Dernæst tildeler du objectet en IP
- For til sidste at fortælle at den skal NAT til dit outside interface fra port 80 til port 80 på dit inside.

Jeg pisse dårlig til at forklare i tekst, men du kan finde eksemplet/dokumentationen her :)


http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/nat_objects.html#wp1106703