Forum

Asa 5505 konfig...
 
Bildirimler
Hepsini Temizle

Asa 5505 konfigürasyonu

39 Yazılar
6 Üyeler
0 Reactions
2,115 Görüntüleme
(@selimatmaca)
Gönderiler: 242
Reputable Member
Konu başlatıcı
 

Arkadaşlar elimde kurmam gereken bir asa 5505 var ve tek internal networkum birde internet cıkısım var

ADSL (192.168.1.0) ip aralığını dağıtacak

Firewall (192.168.1.0 ve 192.168.2.0) networklerini ayırıyor olacak.

Internal networkte bir web server var ve dışardan ulaşılmalı buna ilaveten 25,21,443 portlarınıda aynı serverda açmak istiyorum

Alttaki konfigürasyon sizce doğrumudur

 

 

 

 

Normal
0

MicrosoftInternetExplorer4


/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Normal Tablo";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:"Times New Roman";}

int vlan 1

Firewall(config-if)# nameif inside

Firewall(config-if)# security-level 100

Firewall(config-if)#ip address 192.168.2.1        255.255.255.0

Firewall(config-if)# exit

 

Firewall(config)# interface vlan2

Firewall(config-if)# nameif outside

Firewall(config-if)# security-level 0

Firewall(config-if)# ip address 192.168.1.2
255.255.255.0

Firewall(config-if)# exit

 

Firewall(config)# nat-control

Firewall(config)# nat (inside) 1 0.0.0.0
0.0.0.0

Firewall(config)# global (outside) 1 interface

 

 

Firewall(config)# static (inside,outside)
192.168.1.2 192.168.2.1 netmask 255.255.255.0

 

Firewall(config)# access-list gec permit tcp
0.0.0.0 0.0.0.0 192.168.2.220 255.255.255.0 eq 80

Firewall(config)# access-list gec permit tcp
0.0.0.0 0.0.0.0 192.168.2.220 255.255.255.0 eq 21

Firewall(config)# access-list gec permit tcp
0.0.0.0 0.0.0.0 192.168.2.220 255.255.255.0 eq 22

Firewall(config)# access-list gec permit tcp
0.0.0.0 0.0.0.0 192.168.2.220 255.255.255.0 eq 25

Firewall(config)# access-list gec permit tcp
0.0.0.0 0.0.0.0 192.168.2.220 255.255.255.0 eq 443

 
Gönderildi : 23/09/2008 17:18

(@esersolmaz)
Gönderiler: 3204
Illustrious Member Yönetici

(@selimatmaca)
Gönderiler: 242
Reputable Member
Konu başlatıcı
 

Evet bu mesaji gonderdikten sonra o makaleyi okudum. Size de tesekkur ederim cevap yazdiginiz icin. Simdi baska bir husus var. Anlatayim:

Ben su sekilde cihazlari yerlestirecegim

ADSL ----ASA5505 ----- Internal Network ve burada ulasilmasi gereken web server

ADSL in iceri bakan bacagi 192.168.1.1-------- ASA5505in outside interface ipsi 192.168.1.2 ----ASA5505in inside interface ipsi 192.168.2.1 ve

Internal Networkteki disaridan ulasilmasi gereken web server 192.168.2.210

ADSL de gelen port 80 requestleri su anda 192.168.2.210 a port mapping(forwarding) olarak yapiyordum. Simdi ASA5505i araya koyunca ADSLde veya ASA5505 de nasil bir forwarding yapmaliyim ki 192.168.2.210 disardan ulasilabilsin.

 

Mesela ADSL de port 80i, ASA5505in outside interfaceine(192.168.1.2) ye forward etsem .ASA5505 de nasil bir ayar yapmaliyim. Bunun calisma mantigi ne olabilir. Veya cozum olarak ne onerebilirsiniz

 

su sekilde bir konfigurasyon isimi gorurmu sizce

 

static (inside,outside) tcp 192.168.1.2 80 192.168.2.220 80 netmask

255.255.255.255

access-list out2in extended permit tcp any host 192.168.1.2 eq 80
access-group out2in in interface outside 

 
Gönderildi : 24/09/2008 01:22

(@esersolmaz)
Gönderiler: 3204
Illustrious Member Yönetici
 

Merhaba;


Öncelikle sölemek isterim ki modemi brigde moda alıp asanın outside interfasinide ppoe yaparsanız modemde hiç bir yar yapmanıza gerek kalmaz.


Sonrasında asdm mi kullanıyorsunuz yoksa conlose mu ?

 
Gönderildi : 24/09/2008 01:43

(@selimatmaca)
Gönderiler: 242
Reputable Member
Konu başlatıcı
 

basta console kullandim sonrasinda asdm le devam ettim. Su noktada asdm daha kolay olur sanirim.

Ayrica asanin outside interfacini ppoe nasil yapabilirim, lutfen bunu da yazabilirmisiniz. ASDM de var mi boyle bir ayar secenegi

 
Gönderildi : 24/09/2008 01:57

(@esersolmaz)
Gönderiler: 3204
Illustrious Member Yönetici
 

Merhaba o zaman adım adım gidelim....


öncelikle modeme ppoe den alıp birgde modda çalıştırınız.


Sonrasında asdm açıp configration > interface > outside içine girip ppoe seçip kullanıcı adı ve şifresini giriniz.


asdm ana menüde real ip yi gördünüzmü tamamaıdr...

 
Gönderildi : 24/09/2008 02:14

(@selimatmaca)
Gönderiler: 242
Reputable Member
Konu başlatıcı
 

yarin ilk isim dediklerinizi uygulamak olacak, cok tesekkur ediyorum.

 
Gönderildi : 24/09/2008 02:31

(@esersolmaz)
Gönderiler: 3204
Illustrious Member Yönetici
 

Rica ederim iyi geceler....

 
Gönderildi : 24/09/2008 02:37

(@selimatmaca)
Gönderiler: 242
Reputable Member
Konu başlatıcı
 

dediğiniz gibi yaptım herşey yolunda gitti sayılır. Su an internal network dışarıya ulaşıyor ama dış networkten herhangi birisi iç networkteki web servera ulaşamıyor

 
Gönderildi : 24/09/2008 16:18

(@esersolmaz)
Gönderiler: 3204
Illustrious Member Yönetici
 

Tamam o zaman şimdı configration kısmında nat dan bir statik nat yazıp nat-t de işaretleyip gerekli ipleri ve portları yazacaksınız. sonrasında ise access-list bölümünde outside incoming e bir kural yaıp o nat için izin vermelisiniz.


İyi çalışmalar.

 
Gönderildi : 24/09/2008 16:32

(@selimatmaca)
Gönderiler: 242
Reputable Member
Konu başlatıcı
 

yapıyorum ama çalıştıramadım sabahtan beri

 
Gönderildi : 24/09/2008 19:19

(@FatihSERT)
Gönderiler: 26
Eminent Member
 

Selam ;

 Asdm yi cok fazla kullanmadigim icin tam yerlerini soyleyemiyecegim ama konsoldan asagidaki satirlari yazarsan yonlendirmeyi calistirabilirsin.XXX.XXX.XXX.XXX yerine portu yonlendirmek istedigin ip adresini yazman gerekiyor.

access-list outside_access_in extended permit tcp any interface outside eq 80
static (inside,outside) tcp interface 80 XXX.XXX.XXX.XXX 80 netmask 255.255.255.255
access-group outside_access_in in interface outside

 

 
Gönderildi : 24/09/2008 19:30

(@selimatmaca)
Gönderiler: 242
Reputable Member
Konu başlatıcı
 

konsolu kullanarak yazdım dediklerinizi ama sadece dışarı çıkanlara izin veriyor. İçeriye giremiyorlar. Ben buraya configurasyonumu koyacagım vakti olan arkadaslar bakarsa cok sevinirim. Bu arada ben tırmalamaya devam ediyorum.

 

Firewall(config)# sh run
: Saved
:
ASA Version 7.2(2)
!
hostname Firewall
domain-name xxxxx.com
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 pppoe client vpdn group ttnet
 ip address pppoe setroute
!
interface Vlan3
 no nameif
 security-level 50
 no ip address
!

interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
 switchport access vlan 2
!
interface Ethernet0/5
 switchport access vlan 2
!
interface Ethernet0/6
 switchport access vlan 2
!
interface Ethernet0/7
 switchport access vlan 2
!
passwd 2KFQnbNIdI.2KYOU encrypted
banner motd SISTEME GIRIS YAPMAK YASAKTIR
ftp mode passive
dns server-group DefaultDNS
 domain-name xxxxxxx.com
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list outside_access_in extended permit tcp any host 192.168.2.220 eq http
s
access-list outside_access_in extended permit tcp any interface outside eq www
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
nat-control
global (inside) 1 192.168.2.2-192.168.2.254 netmask 255.255.255.0
global (outside) 1 interface
static (inside,outside) tcp interface www 192.168.2.220 www netmask 255.255.255.
255

access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 X.X.X.X 1       (xler burada statik ipim oluyor)
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.2.220 255.255.255.255 inside
http 192.168.2.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group ttnet request dialout pppoe
vpdn group ttnet localname xxxxx@ttnet
vpdn group ttnet ppp authentication pap
vpdn username xxxxxx@ttnet password ********* store-local
dhcpd dns 192.168.2.1
dhcpd domain xxxxxxx.com
dhcpd auto_config outside
!
dhcpd address 192.168.2.2-192.168.2.254 inside
dhcpd enable inside
!

!
class-map inspection_default
 match default-inspection-traffic

!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:8c1d8d3307580f46516c21b5f194aa46
: end

 
Gönderildi : 24/09/2008 19:59

(@esersolmaz)
Gönderiler: 3204
Illustrious Member Yönetici
 

outside ve inside networkler asa üzerinde hangi portlara baglı tam olarak ?

 
Gönderildi : 24/09/2008 20:42

(@selahattinsadoglu)
Gönderiler: 826
Prominent Member
 

Şunları denermisiniz.

 

FIREWALL#access-list OUTSIDE_IN permit ip any host xxx.xxx.xxx.x  ( Burada x olan yere Cisco ASA cihazın outside ip adresini girin.)

FIREWALL#access-list OUTSIDE_IN permit tcp any host  xxx.xxx.xxx.x eq 80

FIREWALL#access-list OUTSIDE_IN permit tcp any host  xxx.xxx.xxx.x eq 443

FIREWALL#access-list OUTSIDE_IN permit ip any xxx.xxx.xxx.x/yyy.yyy.yyy.y (   Burada x olan yere outside ip 'ye ait Network ID girin. Örn:172.30.2.0  gibi.  y olan kısma ise  subnet mask giriniz.

FIREWALL# access-group OUTSIDE_IN in interface outside

Yukarıdaki komutları açıklayacak olursak 1. komutta web sunucumuzu (kendisine ait adresi tanımlayarak)  erişimine izin verdik.

2.komutta ise  web sunucumuza hangi portlardan erişilebileceğini biz burada ( 80 , 443 ) olarak tanımladım.

Sonraki komutta ise tüm belirttiğim ip bloğuna ( IP olarak )  izin verdim.

Sonrasında ise outside bacağımıza ACL uyguladık. 

 Birde  PIX/ASA cihazlar üzerinde  web sunucunun 80 HTTP portu yönlendirmek için ise ;

FIREWALL#static <inside,outside> tcp  xxx.xxx.xxx.xx 80 10.10.10.5 80    ( Buradaki  x yine sizin outside ip adresiniz.Ve  10.10.10.5 ise web sunucunun ip adresidir.) 

Yukarıdaki komutta ise outside/global adrese  iç web sunucumuzu statik olarak sisteme tanımladık. 

kolay gelsin. 

 
Gönderildi : 24/09/2008 21:49

(@selimatmaca)
Gönderiler: 242
Reputable Member
Konu başlatıcı
 

internal için port e0/2 ye takılmış durumda

outside için yanılmıyorsam e0/6 sanırım.Su an yanımda deil ama bu şekilde sanırım

 
Gönderildi : 24/09/2008 22:05

(@selimatmaca)
Gönderiler: 242
Reputable Member
Konu başlatıcı
 

Şunları denermisiniz.

 

FIREWALL#access-list OUTSIDE_IN permit ip any host xxx.xxx.xxx.x  ( Burada x olan yere Cisco ASA cihazın outside ip adresini girin.)

FIREWALL#access-list OUTSIDE_IN permit tcp any host  xxx.xxx.xxx.x eq 80

FIREWALL#access-list OUTSIDE_IN permit tcp any host  xxx.xxx.xxx.x eq 443

FIREWALL#access-list OUTSIDE_IN permit ip any xxx.xxx.xxx.x/yyy.yyy.yyy.y (   Burada x olan yere outside ip 'ye ait Network ID girin. Örn:172.30.2.0  gibi.  y olan kısma ise  subnet mask giriniz.

FIREWALL# access-group OUTSIDE_IN in interface outside

Yukarıdaki komutları açıklayacak olursak 1. komutta web sunucumuzu (kendisine ait adresi tanımlayarak)  erişimine izin verdik.

2.komutta ise  web sunucumuza hangi portlardan erişilebileceğini biz burada ( 80 , 443 ) olarak tanımladım.

Sonraki komutta ise tüm belirttiğim ip bloğuna ( IP olarak )  izin verdim.

Sonrasında ise outside bacağımıza ACL uyguladık. 

 Birde  PIX/ASA cihazlar üzerinde  web sunucunun 80 HTTP portu yönlendirmek için ise ;

FIREWALL#static <inside,outside> tcp  xxx.xxx.xxx.xx 80 10.10.10.5 80    ( Buradaki  x yine sizin outside ip adresiniz.Ve  10.10.10.5 ise web sunucunun ip adresidir.) 

Yukarıdaki komutta ise outside/global adrese  iç web sunucumuzu statik olarak sisteme tanımladık. 

kolay gelsin. 

 

yarın sabah hemen deneyeceğim, inşallah işe yarar. Ayrıca yardımlarınız için çok teşekkür ediyorum

 
Gönderildi : 24/09/2008 22:08

(@selimatmaca)
Gönderiler: 242
Reputable Member
Konu başlatıcı
 

sizin dediklerinizide yaptım packet tracerdan gene geçmedi. Başarısız gösteriyordu. Her neyse sonra dedimki dışarıdan bir girmeye çalışalım bakalım packet tracer kullanmayarak deneyim ve girdi. Aslında bu adi cihaz çalışıyormuş ama anlamadım neden problem gösteriyordu packet tracer. Çalışan configi buraya koyacagım isteyen arkadaslarada ornek olur. Hepinize çok teşekkürler

 

Firewall(config)# copy running-config startup-config

Source filename [running-config]?
Cryptochecksum: dbc19db2 e83ddf4b 8813e8f6 0456585e

3238 bytes copied in 1.380 secs (3238 bytes/sec)
Firewall(config)# sh run
: Saved
:
ASA Version 7.2(2)
!
hostname Firewall
domain-name service-tr.com
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 pppoe client vpdn group ttnet
 ip address pppoe setroute
!
interface Vlan3
 no nameif
 security-level 50
 no ip address

 

 !
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
 switchport access vlan 2
!
interface Ethernet0/5
 switchport access vlan 2
!
interface Ethernet0/6
 switchport access vlan 2
!
interface Ethernet0/7
 switchport access vlan 2
!
passwd 2KFQnbNIdI.2KYOU encrypted
banner motd SISTEME GIRIS YAPMAK YASAKTIR
ftp mode passive
dns server-group DefaultDNS
 domain-name service-tr.com
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list outsideInBound extended permit tcp any host x.x.198.155 eq www
access-list outsideInBound extended permit tcp any host x.x.198.155 eq https
access-list outsideInBound extended permit tcp any host x.x.198.155 eq smtp
pager lines 24

logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin

no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp interface https 192.168.2.220 https netmask 255.255.
255.255
static (inside,outside) tcp interface www 192.168.2.220 www netmask 255.255.255.
255
access-group outsideInBound in interface outside
route outside 0.0.0.0 0.0.0.0 x.x.198.155 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.2.220 255.255.255.255 inside
http 192.168.2.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5

console timeout 0
vpdn group ttnet request dialout pppoe
vpdn group ttnet localname servis@ttnet
vpdn group ttnet ppp authentication pap
vpdn username servis@ttnet password ********* store-local
dhcpd dns 192.168.2.1
dhcpd domain servis-tr.com
dhcpd auto_config outside
!
dhcpd address 192.168.2.2-192.168.2.219 inside
dhcpd enable inside
!

!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet

inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:a3a7ee15a9f4ac39f1b19971762061fa
: end

 
Gönderildi : 25/09/2008 13:07

(@selahattinsadoglu)
Gönderiler: 826
Prominent Member
 

Benim dediklerim olmadı derken ,dışarında mı girmedi ? yoksa içerden mi ? Çünkü verdiğim config çalışan bir sistemde var.

 

 
Gönderildi : 25/09/2008 13:36

Sayfa 1 / 3
Paylaş: