asa 5510 port izinleri hk

Selam,

http://ciscoconfigs.net/index.php?option=com_content&task=view&id=19&Itemid=26

linkte dişardan iceri dogru izinleri anlatilmiş bense tam tersini yapmaya calişiyorum 

Merhaba Murat Bey,

Örnek Conf: access-list 101 permit tcp 10.0.0.0 0.0.0.255 host146.254.101.2 eq 8080

Açıklama: 10.0.0.0 networkünün 255.255.255.0 subnet maskınıkullandığını varsaydım ve 8080 portuna gelen trafiğinde tcp trafiği olduğunuvarsaydım. Konfigürasyonda görüldüğü gibi 10.0.0.0 networkünün herhangi birportu 8080 e trafik gönderebiliyor.

Ek olarak belirtmek isterim ki, bu access list ilgiliinterface’ in altında outbound yönünde uygulanmalıdır. Onun içinkonfigürasyonda şu şekilde olmalıdır:

ip access-group 101 out

Not: Access listleri uygularken lütfen implicit deny konusunuunutmayınız ve işe başlamadan önce ilk olarak konfigürasyonunuzun yedeğinialınız. Ek olarak Yukarıdaki örnek konfigürasyonda trafik tipi, network adresi kısımlarını değiştirebilirsiniz.

Saygılarımla,

Gürcan Boduroğlu 

 access-list 101 permit tcp 10.0.0.0 255.0.0.0 host 146.254.101.2 eq 8080

sizin yazdiginiz sekilde hata verdi maski degiştirdim yukaridaki şekilde

ip access-group 101 out bu komutu hem internal interfacede hemde external interfacede denedim hata veriyor (ERROR: % Invalid input detected at '^' marker.) komutta hata olabirmi

8080 nolu porta erişimde hala sorun var acces listi olusturunca problemin düzelmesi gerekmiyormuydu

Tekrar Selam, 

Komutta elbette hatam olabilir. Acess listlerde subnet mask değil wildcard mask yazılır. Ben şöyle düşünmüştüm. 10.0.0.0 networkünde 255.255.255.0 subnet maskı kullanılıyor ve sizde bu subnetdeki 255 hosta izin vermek istiyorsanız, wildcard mask şu şekilde olmalıdır: 0.0.0.255.

Öte yandan sadece access listleri oluşturmak yeterli değildir. Her interface'in inbound ve outbound yönü vardır. Oluşturulan access listleri bu yönlerde uygulamak gerekir. Oluşturduğum access listide 146.254.101.2 ip li interface'in outbound yönünde uygulamamız gerekiyor. Gösterilen hatada komut diziliminde hata olduğu yönündedir.

Her komutu yazdıktan sonra soru işareti yaptığınızda cisco size hangi parametreleri girebileceğinizi gösterir. Bu anlamda cihazdan yardım alabilirsiniz. Komutu sözcük sözcük yazınız ve sonralarında soru işaretine bastığınızda size girebileceğiniz komutlar gösterilecektir. Bu komutlar IOS versiyonlarına göre farklılıklarda gösterebilir.

Saygılarımla,

Gürcan Boduroğlu 

Benim tarafımda işin kötü kısmı asa ios larını dynagende çalıştıramıyorum, pix olsa çalıştırıp testini yapacağım :S

Saygılarımla,

Gürcan. 

"access-group 101 out interface outside" olarak düzeltince komut hata vermedi ama ben hala icerden

www.webayfasi.com:8080 yazinca ulasamiyorum

Selam,

Anladım. Bende bir bilgi eksikliği var ozaman. Size sorununuz için yardımcı olamıyorum. Kusuruma bakmayın lütfen.

yardimin caban icin tesekkur ederim

Tekrar Merhaba,

Öncelikle bir önceki postumda bazı hatalarımı düzeltmem gerek. Cisco ASA da access list mantığı biraz farklı işliyormuş. Bunu Cisco 5500 serisi ASA configuration guide söylüyor.

1- ASA' da access listler birkaç farklı çeşit olarak geliyor. Standart ACL, Extended ACL, Ethertype ACL, Webtype ACL. Webtype VPN kısıtlamaları yada izinleri için kullanılıyor.

2- Ben önceki postumda acl lerin interface altına uygulandığını söylemiştim fakat cisco asa' da uygulamayı değiştirmiş. Acller asa da global configuration modda yazılıyor. Bunu interface uygulamak için ise birazdan aşağıda syntax' ını yazacağım, interface i kullanıyorsunuz. Örn: Ethernet 0/1

3- Yine bir önceki postda size ACLlerin subnet mask değil wildcard mask kullanıldığını söylemiştim. Bu konudada yanılmışım. Sanıyorum bu değişikliğin sebebi networkler için izin yada hak verilmesi. Asa' da ACL yazarken subnetmasklar kullanılıyor.

SYNTAX:

 hostname(config)# access-list access_list_name [line line_number] [extended] {deny | permit} protocol source_address mask [operator port] dest_address mask [operator port | icmp_type] [inactive]

ACL UYGULAMAK:

 hostname(config)# access-group access_list_name {in | out} interface interface_name [per-user-override]

Şimdi ben ASA nın 8.0.(2) version yazılımını çalıştırmayı başardım fakat ethernet kartıma bağlayamadım. Yani aslında bir komut yazdım fakat deneyemiyorum. Bu postda amacım sorununuzu çözmekten çok fikiri ve düşünceyi geliştirmek amacını taşıyor. Yakın zamanda şu benim tarafımdaki sorunu çözebilirsem postlayacağım.

Saygılarımla,

Gürcan 

ilgin icin tesekkurler

Uzunca bir aradan sonra tekrar selam,

Konunun peşini bırakmadım fakat bunun içerisine NAT ve PAT konularıda giriyor.

Yani eğer doğru anladıysam asa normalde interfacelere isim veriyorsunuz ve default olarak security level 0 veriyor. Bundan sonra access list konusu geliyor ve sonrada NAT PAT configurasyonunu yazmanızı istiyor. Araştırmaya devam ediyorum. Geçte olsa mutlaka denedikten sonra size kanıtları ile bilrikte geri döneceğim.

 Saygılarımla,

Gürcan 

Selamlar,

ASA nın bu noktada çalışma prensibi şu.

1) NAT mevzusunda gloabal altına PAT yapılacak yani out olarak kullanılacak interface i yazmanız gerekiyor. Ki bu genelde (gloabal) 0.0.0.0 eth0/1 şeklindeydi. Burada yanllış hatırlayabilirim. Yorgun bir günün ardından 🙂

 2) Sonrasında ki mevzu ise routerlardaki ile hemen hemen aynı aslında. 

  Geriside malum acl. Eğer bu noktada acl mantığını iyi oturtuysak zaten router veya multilayer bir switch ten çok farklı değil. Burada önerilen ise name extended acl yazılmasıdır. Neticede normaline göre daha fazla acl üzerinde olacak ki. Bu management kolaylığı sağlayacaktır.

 Devasmında bu NAT isternie ise policy based de yapılabilir. 

Hala yapamadım utanıyorum kendimden.

Merhaba ,

Asa üzerinde "packet tracert " vardır. Yazdığın policy bu şekilde test edebilirsin. Bence en doğru seçim , profosyonel destek almanız yönünde olacaktır.

port yonlendirebilmek icinmi profosyonel destek alayim anlamadim

Murat Bey o cevap benim gibi daha bu işte çömez olanlar içindi 🙂

Postu okuyunca kafam karıştı, Gürcan neyi çözemiyorsun tam olarak tekrar geçer misin problemin üzerinden?