Avatar billede Tom_S Nybegynder
20. januar 2011 - 10:12 Der er 9 kommentarer

ASA5505 port forwarding

Hejsa, Jeg har købt en ASA5505 til vores, men må give op jeg kan simple hen ikke finde ud af hvordan man åbent nogle porte udefra til en intern ip adresse. (Vi har fast IP adresse og portene er åbne fra ISP).
Den gamle router er/var der ingen problemer med og kør.
Jeg vil gerne åben port 25 kun fra en specifik IP adresse, 80, 143, 993, 7000, 5000, 5001 alle ind til en interne IP adresse.
Jeg har sat regler op i access og NAT lige lidt hjælper. Jeg tror det er et eller andet specielt Cisco setup der skal laves i forhold til "almindelige" low cost router.
Nogen der kan hjælpe? Tak ;-)
/Tom
Avatar billede Nereos Nybegynder
21. januar 2011 - 09:36 #1
Jeg vil gerne forsøge, giv evt. en "show run" her. Husk lige at fjerne evt. ip addresser, brugernavne og passwords. (også dem der er krypteret!)
Avatar billede Tom_S Nybegynder
21. januar 2011 - 10:02 #2
Super! Jeg har forsøgt at lave en opsætning til port 80 i nedenstående dump...
: Saved
:
ASA Version 8.3(2)
!
hostname ciscoasa
enable password xxxxx encrypted
passwd xxxxx encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
object network obj_any
subnet 0.0.0.0 0.0.0.0
object service SERVER_SERVICES
service tcp source eq www destination eq www
object network SERVER01
host 192.168.1.2
object service SERVER01_SERVICES
service tcp source eq www destination eq www
access-list outside_access_in extended permit tcp any interface outside eq www
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat (inside,outside) source static SERVER01 interface service SERVER01_SERVICES SERVER01_SERVICES
!
object network obj_any
nat (inside,outside) dynamic interface
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.1.100-192.168.1.150 inside
dhcpd enable inside
!

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:f86d191131e8173d5127326b929e1651
: end
Avatar billede Nereos Nybegynder
26. januar 2011 - 14:27 #3
Sorry kender åbenbart ikke den her, forstår ikke halvdelen af de kommandoer :O
Avatar billede Slettet bruger
03. februar 2011 - 15:53 #4
Hej Tom,

Jeg kan fortælle dig at Cisco har valgt at gøre det "Lettere" at lave NAT, med 8.3 i ASDM - Det er muligt dine NAT'inger IKKE fejler noget.

Dog skal jeg lige høre dig, når du siger fast IP - er det sådan at du får tildelt den samme IP fra ISP, eller skal du sætte den selv statisk? For der er en verden til forskel hos Cisco der :)
Avatar billede Tom_S Nybegynder
04. februar 2011 - 15:36 #5
Hej klundz

Jeg "fatter" ikke helt 8.3, det er nok mig der ikke kan se budskabet ;-)

Jeg har en 8.2 som fungere men jeg vil nu gerne havde styr på 8.3 også.

Har talt med ISP, det skulle være rigtig fast-ID..
Avatar billede Slettet bruger
04. februar 2011 - 17:41 #6
Hej Tom,

Du skal sørge for at fjerne "DHCP" fra outside interface - iflg. din config vil den requeste en IP, fra din udbyder - dernæst skal du sætte gateway of last resort op, for dit inside interface. Det kan gøres:

ciscoasa(config)# route outside 0.0.0.0 0.0.0.0 <din WAN IP>

Kør dernæst en:
ciscoasa(config)# sh route
**********************
Gateway of last resort is <din WAN IP> to network 0.0.0.0


0.0.0.0 i Cisco's verden er lig med "Any" - om du skulle være i tvivl :)
Avatar billede Slettet bruger
04. februar 2011 - 17:44 #7
Efter du har fjernet DHCP på Outside interface, skal du self. også sætte de stastiske informationer op, i henhold til de oplysninger din ISP giver dig :)

Såfremt du skal have IPen fra en ISP DHCP - så må du lige give mig besked her på, for så ligger dit problem ikke der :)
Avatar billede Slettet bruger
04. februar 2011 - 17:51 #8
Hej Tom,

Jeg var sq nok lidt for hurtig på aftrækkeren(dårlig vane) mht. Gateway of last resort - er det således at du HAR internet adgang, fra inside -> outside (bare almindelig web browsing osv. f.eks.) Men det KUN er din NAT'ning der ikke virker fra Outside -> Inside??
Avatar billede Slettet bruger
04. februar 2011 - 18:04 #9
Hej Tom,

Du får lige endnu et svar, hvis det er således du leder efter hvordan NAT sættes op i 8.3:

hostname(config)# object network <navn du kan huske på server>
hostname(config-network-object)# host <servers ip>
hostname(config-network-object)# nat (inside,outside) static interface service tcp 80 80

- I eksemplet opretter du et "object" som kunne være din webserver.
- Dernæst tildeler du objectet en IP
- For til sidste at fortælle at den skal NAT til dit outside interface fra port 80 til port 80 på dit inside.

Jeg pisse dårlig til at forklare i tekst, men du kan finde eksemplet/dokumentationen her :)


http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/nat_objects.html#wp1106703
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester