Command-Line-Interface

Cisco ASA 5505 (8.05):間歇性出口過濾

  • September 28, 2019

我沒有任何運氣設置從內部網路到外部的出口過濾,目的是拒絕所有出站流量,除了也執行 DNS、NTP 等的 HTTP 代理 (Squid) 伺服器。

如果我刪除所有 ACL 規則,它可以正常工作:NAT 很好(雙 NAT 很好),我可以上網等等。

然而,我認為是正確的(我已經閱讀了一堆令人困惑的文件,其中一些是錯誤的版本,因此我在思科土地上的困境)似乎不起作用,儘管不一致。

做一個 telnet 測試,我第一次應用access-group它就可以了。按 CTRL-] 退出,按向上鍵,再次執行命令,超時。刪除所有訪問組分配,不起作用。回來驗證(因為我正在輸入這個)並且 telnet 再次工作。

打開調試日誌,顯示日誌確認數據包被丟棄,但它看起來不正確,我想我可能將我的規則應用到錯誤的介面或錯誤的方向。

以下是一些相關資訊:

伺服器:192.168.2.5/24 內部:192.168.2.0/24 外部:10.0.0.254/24(<– 測試環境,在我的真實 LAN 上有 IP)。

這是我的配置的相對片段:

access-list server_out extended permit tcp host 192.168.2.5 any eq www
global (outside) 10 interface
nat (inside) 10 192.168.2.0 255.255.255.0
access-group server_out in interface inside

同樣,幾分鐘前我沒有訪問組線路並且它有效。我也在幾台機器上嘗試這個,而 192.168.2.0/24 上的另一台機器工作了一次或兩次(甚至幾分鐘前),**即使那裡沒有許可規則,**如你所見,我假設預設拒絕規則創建 ACL 後將應用。

編輯

這裡有一些日誌供您觀賞——這是一個成功的 telnet 到我的真實 LAN (10.0.0.12) 上的網路伺服器:

%ASA-6-305011: Built dynamic TCP translation from inside:192.168.2.5/36097 to outside:10.0.0.254/57787
%ASA-6-302013: Built outbound TCP connection 172 for outside:10.0.0.12/80 (10.0.0.12/80)  to inside:192.168.2.5/36097 (10.0.0.254/57787)

這是相同的請求,幾秒鐘後,配置沒有更改:

%ASA-2-106001: Inbound TCP connection denied from 192.168.2.5/36100 to 10.0.0.12/80   flags FIN ACK  on interface outside
%ASA-2-106001: Inbound TCP connection denied from 192.168.2.5/36101 to 10.0.0.12/80 flags SYN  on interface outside

編輯2

: Saved
:
ASA Version 8.0(5)
!
terminal width 120
hostname some-host
enable password ***** encrypted
passwd ***** encrypted
names
!
interface Vlan1
nameif dmz
security-level 50
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Vlan3
nameif outside
security-level 0
ip address 10.0.0.254 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 3
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 2
!
interface Ethernet0/3
switchport access vlan 2
shutdown
!
interface Ethernet0/4
switchport access vlan 2
shutdown
!
interface Ethernet0/5
switchport access vlan 2
shutdown
!
interface Ethernet0/6
switchport access vlan 2
shutdown
!
interface Ethernet0/7
switchport access vlan 2
shutdown
!
boot system disk0:/asa805-k8.bin
ftp mode passive
access-list inside_out extended permit tcp host 192.168.2.5 any eq www
pager lines 24
logging enable
logging buffered debugging
mtu dmz 1500
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 10 interface
nat (inside) 10 192.168.2.0 255.255.255.0
access-group inside_out in interface inside
route outside 0.0.0.0 0.0.0.0 10.0.0.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0

threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
 message-length maximum 512
policy-map global_policy
class inspection_default
 inspect dns preset_dns_map
 inspect ftp
 inspect h323 h225
 inspect h323 ras
 inspect netbios
 inspect rsh
 inspect rtsp
 inspect skinny
 inspect esmtp
 inspect sqlnet
 inspect sunrpc
 inspect tftp
 inspect sip
 inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:1234567890
: end

我的開關和/或電纜肯定有些古怪:將機器直接插入 e0/2,一次又一次地始終如一地工作。插回去,斷斷續續。然而,奇怪的是日誌會顯示它所顯示的內容。

編輯

是的,循環城市,我很驚訝我什至可以取出任何數據包。聰明的孩子們:關閉埠鏡像後拔掉電纜。

引用自:https://serverfault.com/questions/172042