ASA tapasztalatok ::

Posted in 2010/06/01 ¬ 20:46h.Imi

Pár napot töltöttem az ASA-k alapvető ismeretével, és bár egyelőre továbbra sem sikerült IDS tapasztalatokra szert tennem egy jól körbejárt alap konfigurációt készíthettem amiben minden van, ami szem-szájnak ingere amire a végleges konfigurációnál szükség lehet.

Pár buktatós dolog:

  • VPN esetén a management interface-t csak akkor érjük el, ha ezt engedjük is:
    (config)#management-access inside
  • Nem tudom, hogy a base license miatt-e, de csak egy kizáró nat szabályt tudtam készíteni, így ebbe kellett gyűjtenem minden olyan szabályt, amit a VPN hozzáférésekhez felvettem. Az így elkészített összesített szabályra alkalmaztam végül a nat-ból való kizárást.
    nat (inside) 0 access-list VPN
  • A forgalom engedélyéhez egy ACL-t kell felhúznunk a következőképp:
    • access-list border-list extended permit icmp any any
      access-list border-list extended permit esp any interface outside
    • access-group border-list in interface outside
  • A telephely egy kisebb publikus tartománnyal rendelkezik, így előfordulhat static nat alkalmazása, így ezt is leteszteltem
    static (inside,outside) 172.21.57.81 10.111.25.200 netmask 255.255.255.255
    • Ahol 172.21.57.81 a MAPPELT 10.111.25.200 a valódi cím
    • Az így elérhetővé tett eszköz hozzáférését szintén a border-list ACL-ben szabályozzuk
személyes

You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Leave a Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

*
Kérlek, a képen látható kód beírásával igazold, hogy nem vagy robot.
Anti-Spam Image