Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Giup troubleshoot access-list va nat tren Pix.

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Giup troubleshoot access-list va nat tren Pix.

    Minh ko the truy cap tu mang inside vao vung dmz bang cac giao thuc tcp: http, ftp. Nhung co the ping duoc.

    Pix cua minh co 3 zone: 1 outside, 1 dmz, 1 inside. Cau hinh cua minh duoi day:

    #--------------------------
    interface Ethernet0
    nameif outside
    security-level 0
    ip address 203.x.x.x 255.255.255.252
    !
    interface Ethernet1
    nameif inside
    security-level 100
    ip address 10.1.1.1 255.255.255.0
    !
    interface Ethernet2
    nameif dmz
    security-level 50
    ip address 192.1.1.1 255.255.255.248
    !


    #---------access-list
    same-security-traffic permit inter-interface
    same-security-traffic permit intra-interface
    access-list outside_access_in extended permit ip any any
    access-list outside_access_in extended permit icmp any any

    access-list inside_nat0_outbound extended permit ip any 192.1.1.0 255.255.2
    55.248

    access-list acl_dmz extended permit ip any any
    access-list acl_dmz extended permit icmp any any
    access-list acl_inside extended permit ip any any
    access-list acl_inside extended permit icmp any any

    mtu outside 1500
    mtu inside 1500
    mtu dmz 1500
    icmp permit any outside
    icmp permit any inside
    icmp permit any dmz

    #nat-------
    global (outside) 1 interface
    nat (inside) 0 access-list inside_nat0_outbound
    nat (inside) 1 10.0.0.0 255.0.0.0

    access-group outside_access_in in interface outside
    access-group acl_inside in interface inside
    access-group acl_dmz in interface dmz
    route outside 0.0.0.0 0.0.0.0 203.x.x.x 1

  • #2
    hi, bạn ko cung cấp chi tiết cho mình bít là bạn đứng từ host nằm trên interface nào để thực hiện lệnh ping?
    bạn hãy bỏ câu lệnh "nat (inside) 0 access-list inside_nat0_outbound" và thử lại xem sao?
    chúc bạn thành công
    Nguyễn Quốc Lễ, CCNP CCSP
    Email: nguyenquocle@wimaxpro.org

    Viet Professionals Co. Ltd. VnPro ®
    ---------------------------------------
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel: (08) 35124257
    Fax: (08) 5124314
    Support Forum : http://www. vnpro.org
    Live Chat http://vnpro.org/forum/image.php?u=2...ine=1233770177 : http://www.vnpro.vn/support
    Blog VnPro : http://www.vnpro.org/blog
    Cộng Đồng Mạng Không Dây Việt Nam

    Comment


    • #3
      Minh ping tu host o inside toi host o dmz duoc, nhung ko truy cap duoc http hay ftp.

      access-list inside_nat0_outbound chi mang y nghia la ko nat tai interface outside, neu minh bo access-list nay thi tu host o inside khong ping duoc toi host o dmz.

      Comment


      • #4
        bạn thay câu lệnh "nat (inside) 0 access-list inside_nat0_outbound" bằng câu lênh "static (inside,dmz) 10.0.0.0 10.0.0.0 netmask 255.0.0.0 " nếu như bạn ko mún thực hiện nat từ inside đến dmz và ngược lại
        Nguyễn Quốc Lễ, CCNP CCSP
        Email: nguyenquocle@wimaxpro.org

        Viet Professionals Co. Ltd. VnPro ®
        ---------------------------------------
        149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
        Tel: (08) 35124257
        Fax: (08) 5124314
        Support Forum : http://www. vnpro.org
        Live Chat http://vnpro.org/forum/image.php?u=2...ine=1233770177 : http://www.vnpro.vn/support
        Blog VnPro : http://www.vnpro.org/blog
        Cộng Đồng Mạng Không Dây Việt Nam

        Comment


        • #5
          minh thuc hien theo canh cua ban cung van chi co the ping duoc tu host inside toi dmz thoi ban, ko truy cap duoc http, ftp.

          Mot dieu la minh tu outside co the ping va truy cap duoc http, ftp host trong dmz.

          Comment


          • #6
            bạn evn cấu hình thiếu phần NAT từ inside ra DMZ, hoặc cấu hình bạn đưa lên forum bị thiếu.

            Có thể thêm vào vài dòng như:

            cách 1:

            global (dmz) 1 192.1.1.2

            hoặc

            static (inside, dmz) 192.1.1.0
            Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

            Email : dangquangminh@vnpro.org
            https://www.facebook.com/groups/vietprofessional/

            Comment


            • #7
              cấu hình của bạn đã cấu hình permit ip any any từ outside và DMZ thì ai ở ngoài cũng có thể vô mạng của bạn được.bạn hãy cung cấp chi tiết về sơ đồ mạng của bạn thế nào, cấu hình đầy đủ nữa
              Nguyễn Quốc Lễ, CCNP CCSP
              Email: nguyenquocle@wimaxpro.org

              Viet Professionals Co. Ltd. VnPro ®
              ---------------------------------------
              149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
              Tel: (08) 35124257
              Fax: (08) 5124314
              Support Forum : http://www. vnpro.org
              Live Chat http://vnpro.org/forum/image.php?u=2...ine=1233770177 : http://www.vnpro.vn/support
              Blog VnPro : http://www.vnpro.org/blog
              Cộng Đồng Mạng Không Dây Việt Nam

              Comment


              • #8
                Day la day du cau hinh cua minh, minh cung thay kho hieu la chi co the ping duoc tu inside vao dmz nhung ko dung duoc http, fpt tu inside vao dmz.

                Ngay ca khi quay vpn ipsec qua Internet vao thi 1 so may tinh ping va truy cap duoc cac host trong inside, 1 so may tinh lai ko duoc.


                !
                interface Ethernet0
                nameif outside
                security-level 0
                ip address 203.1.1.2 255.255.255.252
                !
                interface Ethernet1
                nameif inside
                security-level 100
                ip address 10.1.1.1 255.255.255.0
                !
                interface Ethernet2
                nameif dmz
                security-level 50
                ip address 192.1.1.1 255.255.255.248
                !
                ftp mode passive
                dns server-group DefaultDNS
                domain-name default.domain.invalid
                same-security-traffic permit inter-interface
                same-security-traffic permit intra-interface
                access-list outside_access_in extended permit ip any any
                access-list outside_access_in extended permit icmp any any
                access-list inside_nat0_outbound extended permit ip any 10.1.2.0 255.255.255.0

                access-list Group_splitTunnelAcl standard permit any
                access-list acl_dmz extended permit ip any any
                access-list acl_dmz extended permit icmp any any
                access-list acl_inside extended permit ip any any
                access-list acl_inside extended permit icmp any any
                pager lines 24
                logging enable
                logging asdm informational
                mtu outside 1500
                mtu inside 1500
                mtu dmz 1500
                ip local pool Pool1 10.1.2.2-10.1.2.254 mask 255.255.255.0
                icmp permit any outside
                icmp permit any inside
                icmp permit any dmz
                asdm image flash:/asdm
                no asdm history enable
                arp timeout 14400
                global (outside) 1 interface
                nat (inside) 0 access-list inside_nat0_outbound
                nat (inside) 1 10.0.0.0 255.0.0.0
                static (inside,outside) tcp interface 3389 10.1.1.10 3389 netmask 255.255.255.
                255
                static (inside,outside) tcp interface ftp 10.1.1.10 ftp netmask 255.255.255.25
                5
                static (inside,dmz) 10.0.0.0 10.0.0.0 netmask 255.0.0.0
                static (dmz,inside) 192.1.1.0 192.1.1.0 netmask 255.255.255.248
                access-group outside_access_in in interface outside
                access-group acl_inside in interface inside
                access-group acl_dmz in interface dmz
                route outside 0.0.0.0 0.0.0.0 203.1.1.1 1
                timeout xlate 3:00:00
                timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
                timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
                timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
                timeout uauth 0:05:00 absolute
                group-policy group1 internal
                group-policy group1 attributes
                split-tunnel-policy tunnelspecified
                split-tunnel-network-list value Group_splitTunnelAcl
                username test1 password Np26EZUBZBU827Wq encrypted privilege 15
                username test1 attributes
                vpn-group-policy group1
                username test2 password oKcj.jM38fr.FkYp encrypted privilege 15
                http server enable
                http 10.0.0.0 255.0.0.0 inside
                no snmp-server location
                no snmp-server contact
                snmp-server community public
                snmp-server enable traps snmp authentication linkup linkdown coldstart
                crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
                crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
                crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
                crypto map outside_map interface outside
                isakmp enable outside
                isakmp policy 10 authentication pre-share
                isakmp policy 10 encryption 3des
                isakmp policy 10 hash sha
                isakmp policy 10 group 2
                isakmp policy 10 lifetime 86400
                isakmp policy 65535 authentication pre-share
                isakmp policy 65535 encryption 3des
                isakmp policy 65535 hash sha
                isakmp policy 65535 group 2
                isakmp policy 65535 lifetime 86400
                tunnel-group group1 type ipsec-ra
                tunnel-group group1 general-attributes
                address-pool Pool1
                default-group-policy group1
                tunnel-group group1 ipsec-attributes
                pre-shared-key *
                telnet 0.0.0.0 0.0.0.0 inside
                telnet timeout 5
                ssh timeout 5
                console timeout 0
                management-access outside
                dhcpd address 10.1.1.100-10.1.1.200 inside
                dhcpd lease 3600
                dhcpd ping_timeout 50
                dhcpd enable inside
                !
                class-map inspection_default
                match default-inspection-traffic
                !
                !
                policy-map global_policy
                class inspection_default
                inspect dns maximum-length 512
                inspect ftp
                inspect h323 h225
                inspect h323 ras
                inspect netbios
                inspect rsh
                inspect rtsp
                inspect skinny
                inspect esmtp
                inspect sqlnet
                inspect sunrpc
                inspect tftp
                inspect sip
                inspect xdmcp
                !
                service-policy global_policy global
                Cryptochecksum:750ca61af065452e6a5264378d12e3d7
                : end

                Comment


                • #9
                  ---bạn chưa gõ câu lệnh "nat-control" .
                  ---2 câu lệnh:
                  "static (inside,dmz) 10.0.0.0 10.0.0.0 netmask 255.0.0.0
                  static (dmz,inside) 192.1.1.0 192.1.1.0 netmask 255.255.255.248"
                  bạn chỉ cần sử dụng 1 câu lênh là có tác dụng 2 chiều rồi. bỏ 1 câu lệnh ko cần thiết đi bạn
                  ---bạn hãy dùng 1 máy tính cắm trực tiếp vào cổng inside của PIX và truy cập ftp,http lại xem,bít đâu mang inside bạn đang có vấn đề
                  Nguyễn Quốc Lễ, CCNP CCSP
                  Email: nguyenquocle@wimaxpro.org

                  Viet Professionals Co. Ltd. VnPro ®
                  ---------------------------------------
                  149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                  Tel: (08) 35124257
                  Fax: (08) 5124314
                  Support Forum : http://www. vnpro.org
                  Live Chat http://vnpro.org/forum/image.php?u=2...ine=1233770177 : http://www.vnpro.vn/support
                  Blog VnPro : http://www.vnpro.org/blog
                  Cộng Đồng Mạng Không Dây Việt Nam

                  Comment


                  • #10
                    thanks ban, minh nghi chac do topology inside cua minh co van de, tuy nhien cho minh hoi y nghia cua nat-control la gi the ?

                    Comment


                    • #11
                      Có "nat-control" thì mới thực hiện NAT đc!
                      Đặng Hoàng Khánh
                      Email: danghoangkhanh@vnpro.org
                      ---------------------------
                      VnPro - Cisco Authorised Training
                      Discuss about Networking, especially Cisco technology: http://vnpro.org
                      Discuss about Wireless: http://wifipro.org or http://wimaxpro.org

                      Comment


                      • #12
                        hi, mình sẽ giải thix cho bạn hiểu theo 2 trường hợp:
                        trường hợp 1: nat-control is disabled thì tất cả traffic đi từ vùng có level cao đến vùng có level thấp hơn sẽ không thực hiện NAT và traffic từ từ vùng có level thấp hơn đến vùng có level cao hơn chỉ bắt buộc phải được cho phép bởi ACCESS-LIST,ko bắt buộc phải có NAT

                        trường hợp 2:
                        nat-control is enable thì tất cả traffic đi từ vùng có level cao đến vùng có level thấp hơn phải nằm trong điều kiện của 2 câu lệnh (nat command tương ứng với câu lênh Global, static) hoặc drop hết traffic. traffic đi từ vùng level thấp sang level cao hơn cũng bắt buộc NAT và phải được cho phép bởi access-list
                        Nguyễn Quốc Lễ, CCNP CCSP
                        Email: nguyenquocle@wimaxpro.org

                        Viet Professionals Co. Ltd. VnPro ®
                        ---------------------------------------
                        149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                        Tel: (08) 35124257
                        Fax: (08) 5124314
                        Support Forum : http://www. vnpro.org
                        Live Chat http://vnpro.org/forum/image.php?u=2...ine=1233770177 : http://www.vnpro.vn/support
                        Blog VnPro : http://www.vnpro.org/blog
                        Cộng Đồng Mạng Không Dây Việt Nam

                        Comment


                        • #13


                          theo như trên trang Cisco thì mình hiểu thế này kô biết đúng không:

                          Truong hop 1: nat-control is disabled thi cho phép traffic từ host inside (level cao) toi host outside (level thap) mà không cần cấu hình nat. Chỉ có những host cần nat mới thực hiện nat rule mà thôi.

                          Trường hợp 2: nat-control is enabled thì mọi traffic từ host inside (level cao) tới được host outside (level thấp) phải thực hiện nat rule.

                          Do vậy, khi bật nat-control thi từ outside mình kô vào được dmz vì mình kô cấu hình nat rule. Trong cấu hình của mình, mình có thực hiện nat (inside) 0 để phục vụ no nat cho dải ip của vpn client và mình có đưa thêm dai ip dmz vao cùng access-rule này -> kết quả: vẫn có thể ping từ inside vào dmz mà kô cần cấu hình static (inside, dmz)

                          Comment

                          Working...
                          X