Forum

asa 5510 port izinl...
 
Bildirimler
Hepsini Temizle

asa 5510 port izinleri hk

24 Yazılar
5 Üyeler
0 Reactions
1,018 Görüntüleme
(@muratdogan)
Gönderiler: 162
Reputable Member
Konu başlatıcı
 

selam arkadaslar

 networkte 1 adet asa 5510 var gayet güzel calişiyor

ic bacagi 10.0.0.2  

 diş bacagi 146.254.101.2

 yapmak istedim şu

ic networkten dişari doru 8080 porta izin vermek bunu nasil yaparim

yardimlariniz icin şimdiden tesekkurler

 

 

 

 

 

 

 

 
Gönderildi : 17/05/2010 23:48

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici

(@muratdogan)
Gönderiler: 162
Reputable Member
Konu başlatıcı
 

linkte dişardan iceri dogru izinleri anlatilmiş bense tam tersini yapmaya calişiyorum 

 
Gönderildi : 18/05/2010 23:12

(@GurcanBoduroglu)
Gönderiler: 119
Estimable Member
 

Merhaba Murat Bey,

Örnek Conf: access-list 101 permit tcp 10.0.0.0 0.0.0.255 host146.254.101.2 eq 8080

Açıklama: 10.0.0.0 networkünün 255.255.255.0 subnet maskınıkullandığını varsaydım ve 8080 portuna gelen trafiğinde tcp trafiği olduğunuvarsaydım. Konfigürasyonda görüldüğü gibi 10.0.0.0 networkünün herhangi birportu 8080 e trafik gönderebiliyor.

Ek olarak belirtmek isterim ki, bu access list ilgiliinterface’ in altında outbound yönünde uygulanmalıdır. Onun içinkonfigürasyonda şu şekilde olmalıdır:

ip access-group 101 out

Not: Access listleri uygularken lütfen implicit deny konusunuunutmayınız ve işe başlamadan önce ilk olarak konfigürasyonunuzun yedeğinialınız. Ek olarak Yukarıdaki örnek konfigürasyonda trafik tipi, network adresi kısımlarını değiştirebilirsiniz.

Saygılarımla,

Gürcan Boduroğlu 

 
Gönderildi : 19/05/2010 04:27

(@muratdogan)
Gönderiler: 162
Reputable Member
Konu başlatıcı
 

 access-list 101 permit tcp 10.0.0.0 255.0.0.0 host 146.254.101.2 eq 8080


sizin yazdiginiz sekilde hata verdi maski degiştirdim yukaridaki şekilde


ip access-group 101 out bu komutu hem internal interfacede hemde external interfacede denedim hata veriyor (ERROR: % Invalid input detected at '^' marker.) komutta hata olabirmi


8080 nolu porta erişimde hala sorun var acces listi olusturunca problemin düzelmesi gerekmiyormuydu

 
Gönderildi : 20/05/2010 13:48

(@GurcanBoduroglu)
Gönderiler: 119
Estimable Member
 

Tekrar Selam, 

Komutta elbette hatam olabilir. Acess listlerde subnet mask değil wildcard mask yazılır. Ben şöyle düşünmüştüm. 10.0.0.0 networkünde 255.255.255.0 subnet maskı kullanılıyor ve sizde bu subnetdeki 255 hosta izin vermek istiyorsanız, wildcard mask şu şekilde olmalıdır: 0.0.0.255.

Öte yandan sadece access listleri oluşturmak yeterli değildir. Her interface'in inbound ve outbound yönü vardır. Oluşturulan access listleri bu yönlerde uygulamak gerekir. Oluşturduğum access listide 146.254.101.2 ip li interface'in outbound yönünde uygulamamız gerekiyor. Gösterilen hatada komut diziliminde hata olduğu yönündedir.

Her komutu yazdıktan sonra soru işareti yaptığınızda cisco size hangi parametreleri girebileceğinizi gösterir. Bu anlamda cihazdan yardım alabilirsiniz. Komutu sözcük sözcük yazınız ve sonralarında soru işaretine bastığınızda size girebileceğiniz komutlar gösterilecektir. Bu komutlar IOS versiyonlarına göre farklılıklarda gösterebilir.

Saygılarımla,

Gürcan Boduroğlu 

 
Gönderildi : 20/05/2010 17:26

(@GurcanBoduroglu)
Gönderiler: 119
Estimable Member
 

Benim tarafımda işin kötü kısmı asa ios larını dynagende çalıştıramıyorum, pix olsa çalıştırıp testini yapacağım :S

Saygılarımla,

Gürcan. 

 
Gönderildi : 20/05/2010 19:49

(@muratdogan)
Gönderiler: 162
Reputable Member
Konu başlatıcı
 

"access-group 101 out interface outside" olarak düzeltince komut hata vermedi ama ben hala icerden


www.webayfasi.com:8080 yazinca ulasamiyorum

 
Gönderildi : 20/05/2010 20:55

(@GurcanBoduroglu)
Gönderiler: 119
Estimable Member
 

Selam,

Anladım. Bende bir bilgi eksikliği var ozaman. Size sorununuz için yardımcı olamıyorum. Kusuruma bakmayın lütfen.

 
Gönderildi : 21/05/2010 02:11

(@muratdogan)
Gönderiler: 162
Reputable Member
Konu başlatıcı
 

yardimin caban icin tesekkur ederim

 
Gönderildi : 21/05/2010 12:06

(@GurcanBoduroglu)
Gönderiler: 119
Estimable Member
 

Tekrar Merhaba,

Öncelikle bir önceki postumda bazı hatalarımı düzeltmem gerek. Cisco ASA da access list mantığı biraz farklı işliyormuş. Bunu Cisco 5500 serisi ASA configuration guide söylüyor.

1- ASA' da access listler birkaç farklı çeşit olarak geliyor. Standart ACL, Extended ACL, Ethertype ACL, Webtype ACL. Webtype VPN kısıtlamaları yada izinleri için kullanılıyor.

2- Ben önceki postumda acl lerin interface altına uygulandığını söylemiştim fakat cisco asa' da uygulamayı değiştirmiş. Acller asa da global configuration modda yazılıyor. Bunu interface uygulamak için ise birazdan aşağıda syntax' ını yazacağım, interface i kullanıyorsunuz. Örn: Ethernet 0/1

3- Yine bir önceki postda size ACLlerin subnet mask değil wildcard mask kullanıldığını söylemiştim. Bu konudada yanılmışım. Sanıyorum bu değişikliğin sebebi networkler için izin yada hak verilmesi. Asa' da ACL yazarken subnetmasklar kullanılıyor.

 

SYNTAX:

 hostname(config)# access-list access_list_name [line line_number] [extended] {deny | permit} protocol source_address mask [operator port] dest_address mask [operator port | icmp_type] [inactive]

ACL UYGULAMAK:

 hostname(config)# access-group access_list_name {in | out} interface interface_name [per-user-override]

 

Şimdi ben ASA nın 8.0.(2) version yazılımını çalıştırmayı başardım fakat ethernet kartıma bağlayamadım. Yani aslında bir komut yazdım fakat deneyemiyorum. Bu postda amacım sorununuzu çözmekten çok fikiri ve düşünceyi geliştirmek amacını taşıyor. Yakın zamanda şu benim tarafımdaki sorunu çözebilirsem postlayacağım.

Saygılarımla,

Gürcan 

 
Gönderildi : 28/05/2010 16:01

(@muratdogan)
Gönderiler: 162
Reputable Member
Konu başlatıcı
 

ilgin icin tesekkurler

 
Gönderildi : 29/05/2010 20:34

(@GurcanBoduroglu)
Gönderiler: 119
Estimable Member
 

Uzunca bir aradan sonra tekrar selam,

Konunun peşini bırakmadım fakat bunun içerisine NAT ve PAT konularıda giriyor.

Yani eğer doğru anladıysam asa normalde interfacelere isim veriyorsunuz ve default olarak security level 0 veriyor. Bundan sonra access list konusu geliyor ve sonrada NAT PAT configurasyonunu yazmanızı istiyor. Araştırmaya devam ediyorum. Geçte olsa mutlaka denedikten sonra size kanıtları ile bilrikte geri döneceğim.

 Saygılarımla,

Gürcan 

 
Gönderildi : 09/06/2010 19:12

(@volkankulalar)
Gönderiler: 158
Estimable Member
 

Selamlar,

 

ASA nın bu noktada çalışma prensibi şu.

 

1) NAT mevzusunda gloabal altına PAT yapılacak yani out olarak kullanılacak interface i yazmanız gerekiyor. Ki bu genelde (gloabal) 0.0.0.0 eth0/1 şeklindeydi. Burada yanllış hatırlayabilirim. Yorgun bir günün ardından 🙂

 2) Sonrasında ki mevzu ise routerlardaki ile hemen hemen aynı aslında. 

  Geriside malum acl. Eğer bu noktada acl mantığını iyi oturtuysak zaten router veya multilayer bir switch ten çok farklı değil. Burada önerilen ise name extended acl yazılmasıdır. Neticede normaline göre daha fazla acl üzerinde olacak ki. Bu management kolaylığı sağlayacaktır.

 Devasmında bu NAT isternie ise policy based de yapılabilir. 

 
Gönderildi : 10/06/2010 04:15

(@GurcanBoduroglu)
Gönderiler: 119
Estimable Member
 

Hala yapamadım utanıyorum kendimden.

 
Gönderildi : 29/06/2010 20:34

(@ilyasYILDIZ)
Gönderiler: 441
Honorable Member
 

Merhaba ,

Asa üzerinde "packet tracert " vardır. Yazdığın policy bu şekilde test edebilirsin. Bence en doğru seçim , profosyonel destek almanız yönünde olacaktır.

 
Gönderildi : 29/06/2010 20:47

(@muratdogan)
Gönderiler: 162
Reputable Member
Konu başlatıcı
 

port yonlendirebilmek icinmi profosyonel destek alayim anlamadim

 
Gönderildi : 08/07/2010 19:21

(@GurcanBoduroglu)
Gönderiler: 119
Estimable Member
 

Murat Bey o cevap benim gibi daha bu işte çömez olanlar içindi 🙂

 
Gönderildi : 09/07/2010 23:31

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

Postu okuyunca kafam karıştı, Gürcan neyi çözemiyorsun tam olarak tekrar geçer misin problemin üzerinden?

 
Gönderildi : 10/07/2010 15:38

Sayfa 1 / 2
Paylaş: