Cisco ASA 5505 (8.05):間歇性出口過濾
我沒有任何運氣設置從內部網路到外部的出口過濾,目的是拒絕所有出站流量,除了也執行 DNS、NTP 等的 HTTP 代理 (Squid) 伺服器。
如果我刪除所有 ACL 規則,它可以正常工作:NAT 很好(雙 NAT 很好),我可以上網等等。
然而,我認為是正確的(我已經閱讀了一堆令人困惑的文件,其中一些是錯誤的版本,因此我在思科土地上的困境)似乎不起作用,儘管不一致。
做一個 telnet 測試,我第一次應用
access-group
它就可以了。按 CTRL-] 退出,按向上鍵,再次執行命令,超時。刪除所有訪問組分配,不起作用。回來驗證(因為我正在輸入這個)並且 telnet 再次工作。打開調試日誌,顯示日誌確認數據包被丟棄,但它看起來不正確,我想我可能將我的規則應用到錯誤的介面或錯誤的方向。
以下是一些相關資訊:
伺服器:192.168.2.5/24 內部:192.168.2.0/24 外部:10.0.0.254/24(<– 測試環境,在我的真實 LAN 上有 IP)。
這是我的配置的相對片段:
access-list server_out extended permit tcp host 192.168.2.5 any eq www global (outside) 10 interface nat (inside) 10 192.168.2.0 255.255.255.0 access-group server_out in interface inside
同樣,幾分鐘前我沒有訪問組線路並且它有效。我也在幾台機器上嘗試這個,而 192.168.2.0/24 上的另一台機器工作了一次或兩次(甚至幾分鐘前),**即使那裡沒有許可規則,**如你所見,我假設預設拒絕規則創建 ACL 後將應用。
編輯
這裡有一些日誌供您觀賞——這是一個成功的 telnet 到我的真實 LAN (10.0.0.12) 上的網路伺服器:
%ASA-6-305011: Built dynamic TCP translation from inside:192.168.2.5/36097 to outside:10.0.0.254/57787 %ASA-6-302013: Built outbound TCP connection 172 for outside:10.0.0.12/80 (10.0.0.12/80) to inside:192.168.2.5/36097 (10.0.0.254/57787)
這是相同的請求,幾秒鐘後,配置沒有更改:
%ASA-2-106001: Inbound TCP connection denied from 192.168.2.5/36100 to 10.0.0.12/80 flags FIN ACK on interface outside %ASA-2-106001: Inbound TCP connection denied from 192.168.2.5/36101 to 10.0.0.12/80 flags SYN on interface outside
編輯2
: Saved : ASA Version 8.0(5) ! terminal width 120 hostname some-host enable password ***** encrypted passwd ***** encrypted names ! interface Vlan1 nameif dmz security-level 50 ip address 192.168.1.1 255.255.255.0 ! interface Vlan2 nameif inside security-level 100 ip address 192.168.2.1 255.255.255.0 ! interface Vlan3 nameif outside security-level 0 ip address 10.0.0.254 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 3 ! interface Ethernet0/1 ! interface Ethernet0/2 switchport access vlan 2 ! interface Ethernet0/3 switchport access vlan 2 shutdown ! interface Ethernet0/4 switchport access vlan 2 shutdown ! interface Ethernet0/5 switchport access vlan 2 shutdown ! interface Ethernet0/6 switchport access vlan 2 shutdown ! interface Ethernet0/7 switchport access vlan 2 shutdown ! boot system disk0:/asa805-k8.bin ftp mode passive access-list inside_out extended permit tcp host 192.168.2.5 any eq www pager lines 24 logging enable logging buffered debugging mtu dmz 1500 mtu inside 1500 mtu outside 1500 no failover icmp unreachable rate-limit 1 burst-size 1 no asdm history enable arp timeout 14400 global (outside) 10 interface nat (inside) 10 192.168.2.0 255.255.255.0 access-group inside_out in interface inside route outside 0.0.0.0 0.0.0.0 10.0.0.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh timeout 5 console timeout 0 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:1234567890 : end
我的開關和/或電纜肯定有些古怪:將機器直接插入 e0/2,一次又一次地始終如一地工作。插回去,斷斷續續。然而,奇怪的是日誌會顯示它所顯示的內容。
編輯
是的,循環城市,我很驚訝我什至可以取出任何數據包。聰明的孩子們:關閉埠鏡像後拔掉電纜。