Announcement

**tieutu119** · 15-08-2010, 07:03 PM

không ai giúp mình sao?

**thanhnam0707** · 16-08-2010, 10:21 AM

ASA2 bạn xem có xài nat-controll không,

**tieutu119** · 16-08-2010, 09:04 PM

Originally posted by thanhnam0707 View Post

ASA2 bạn xem có xài nat-controll không,

Hi thanhnam0707,
Mình không xài nat-control.
Vậy mình phải sử dụng nó mới thì server mới có thể ping thấy các mạng còn lại hả bạn?

**thanhnam0707** · 17-08-2010, 10:13 AM

Cái ACL 101 của bạn cho phép gói ping trả về từ outside rồi,còn lại là routing,tại sao mạng 2.0 của ASA2 ko ping ra ngoài đc,bạn gửi cấu hình của ASA2 và ASA1 để mọi người xem thử,

**tieutu119** · 17-08-2010, 03:39 PM

Originally posted by thanhnam0707 View Post

Cái ACL 101 của bạn cho phép gói ping trả về từ outside rồi,còn lại là routing,tại sao mạng 2.0 của ASA2 ko ping ra ngoài đc,bạn gửi cấu hình của ASA2 và ASA1 để mọi người xem thử,

Server mình kết nối với interface e0/0 của ASA thông qua VMnet1 của VmWare. Mình nghĩ vấn đề có thể nằm ở chỗ này.

Còn đây là cấu hình của ASA1 và ASA2. Các router mình đã thực hiện route đầy đủ rồi. Bạn xem qua và giúp mình nhé. Thanks
ASA1:

Code:

ASA1# sh run
: Saved
:
ASA Version 8.0(2)
!
hostname ASA1
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 192.168.3.2 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 192.168.4.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list 101 extended permit icmp any any echo
access-list 101 extended permit icmp any any echo-reply
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.4.2 1
route inside 192.168.2.0 255.255.255.0 192.168.3.1 1
route inside 192.168.5.0 255.255.255.0 192.168.3.1 1
route inside 192.168.6.0 255.255.255.0 192.168.3.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
!
prompt hostname context
Cryptochecksum:00000000000000000000000000000000
: end

ASA2:

Code:

ASA2# sh run
: Saved
:
ASA Version 8.0(2)
!
hostname ASA2
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
 nameif inside
 security-level 100
 ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/1
 nameif outside
 security-level 0
 ip address 192.168.5.1 255.255.255.0
!
interface Ethernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet0/5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list 101 extended permit icmp any any echo
access-list 101 extended permit icmp any any echo-reply
pager lines 24
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.5.4 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
!
prompt hostname context
Cryptochecksum:00000000000000000000000000000000
: end

**thanhnam0707** · 17-08-2010, 06:30 PM

Bạn thêm 2 câu lệnh này vào cả 2 firewall thử,

global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0

Check từ server có ping thấy ip e0 của asa2 ko,

**phamminhtuan** · 18-08-2010, 01:50 AM

Chào bạn,

Vì lí do bảo mật nên Cisco tránh ping từ interface này đến IP của Interface khác.
Vd: Để tránh Dos, bạn chặn không cho ping từ IP bên ngoài đến thiết bị của bạn (bạn viết ACL có source, dest: chẳng hạn như deny any x.x.x.x).
Nhưng IP những interface còn lại thì sao? Người tấn công không cần ping interface kết nối trực tiếp mà ping IP của những interface ở phía trong.
Đó là một lí do và cũng là ví dụ nhỏ trong học phần ACL của CCNA nếu bạn học tại Vnpro.

Trên forum cũng có bạn từng nói vấn đề này
http://www.vnpro.org/forum/showthrea...n-PIX-Firewall

Cisco cũng nói vậy

404 - Page Not Found - Products

http://www.cisco.com/en/US/docs/security/asa/asa71/configuration/guide/trouble.html

404 - Page Not Found

For security purposes the security appliance does not support far-end interface ping, that is pinging the IP address of the outside interface from the inside network.

**tieutu119** · 20-08-2010, 01:35 AM

Mình đã làm được. Cảm ơn mọi người rất nhìu :)

Announcement

Giúp mình về ASA

Giúp mình về ASA

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment