Forum
Bildirimler
Hepsini Temizle
Cisco Networking
39
Yazılar
6
Üyeler
0
Reactions
1,903
Görüntüleme
Konu başlatıcı
Arkadaşlar elimde kurmam gereken bir asa 5505 var ve tek internal networkum birde internet cıkısım var
ADSL (192.168.1.0) ip aralığını dağıtacak
Firewall (192.168.1.0 ve 192.168.2.0) networklerini ayırıyor olacak.
Internal networkte bir web server var ve dışardan ulaşılmalı buna ilaveten 25,21,443 portlarınıda aynı serverda açmak istiyorum
Alttaki konfigürasyon sizce doğrumudur
Normal
0
MicrosoftInternetExplorer4
/* Style Definitions */
table.MsoNormalTable
{mso-style-name:"Normal Tablo";
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-parent:"";
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:"Times New Roman";}
int vlan 1
Firewall(config-if)# nameif inside
Firewall(config-if)# security-level 100
Firewall(config-if)#ip address 192.168.2.1 255.255.255.0
Firewall(config-if)# exit
Firewall(config)# interface vlan2
Firewall(config-if)# nameif outside
Firewall(config-if)# security-level 0
Firewall(config-if)# ip address 192.168.1.2
255.255.255.0
Firewall(config-if)# exit
Firewall(config)# nat-control
Firewall(config)# nat (inside) 1 0.0.0.0
0.0.0.0
Firewall(config)# global (outside) 1 interface
Firewall(config)# static (inside,outside)
192.168.1.2 192.168.2.1 netmask 255.255.255.0
Firewall(config)# access-list gec permit tcp
0.0.0.0 0.0.0.0 192.168.2.220 255.255.255.0 eq 80
Firewall(config)# access-list gec permit tcp
0.0.0.0 0.0.0.0 192.168.2.220 255.255.255.0 eq 21
Firewall(config)# access-list gec permit tcp
0.0.0.0 0.0.0.0 192.168.2.220 255.255.255.0 eq 22
Firewall(config)# access-list gec permit tcp
0.0.0.0 0.0.0.0 192.168.2.220 255.255.255.0 eq 25
Firewall(config)# access-list gec permit tcp
0.0.0.0 0.0.0.0 192.168.2.220 255.255.255.0 eq 443
Gönderildi : 23/09/2008 17:18
incelemenizi öneririm
Gönderildi : 23/09/2008 18:16
Konu başlatıcı
Evet bu mesaji gonderdikten sonra o makaleyi okudum. Size de tesekkur ederim cevap yazdiginiz icin. Simdi baska bir husus var. Anlatayim:
Ben su sekilde cihazlari yerlestirecegim
ADSL ----ASA5505 ----- Internal Network ve burada ulasilmasi gereken web server
ADSL in iceri bakan bacagi 192.168.1.1-------- ASA5505in outside interface ipsi 192.168.1.2 ----ASA5505in inside interface ipsi 192.168.2.1 ve
Internal Networkteki disaridan ulasilmasi gereken web server 192.168.2.210
ADSL de gelen port 80 requestleri su anda 192.168.2.210 a port mapping(forwarding) olarak yapiyordum. Simdi ASA5505i araya koyunca ADSLde veya ASA5505 de nasil bir forwarding yapmaliyim ki 192.168.2.210 disardan ulasilabilsin.
Mesela ADSL de port 80i, ASA5505in outside interfaceine(192.168.1.2) ye forward etsem .ASA5505 de nasil bir ayar yapmaliyim. Bunun calisma mantigi ne olabilir. Veya cozum olarak ne onerebilirsiniz
su sekilde bir konfigurasyon isimi gorurmu sizce
static (inside,outside) tcp 192.168.1.2 80 192.168.2.220 80 netmask
255.255.255.255
access-list out2in extended permit tcp any host 192.168.1.2 eq 80
access-group out2in in interface outside
Gönderildi : 24/09/2008 01:22
Merhaba;
Öncelikle sölemek isterim ki modemi brigde moda alıp asanın outside interfasinide ppoe yaparsanız modemde hiç bir yar yapmanıza gerek kalmaz.
Sonrasında asdm mi kullanıyorsunuz yoksa conlose mu ?
Gönderildi : 24/09/2008 01:43
Konu başlatıcı
basta console kullandim sonrasinda asdm le devam ettim. Su noktada asdm daha kolay olur sanirim.
Ayrica asanin outside interfacini ppoe nasil yapabilirim, lutfen bunu da yazabilirmisiniz. ASDM de var mi boyle bir ayar secenegi
Gönderildi : 24/09/2008 01:57
Merhaba o zaman adım adım gidelim....
öncelikle modeme ppoe den alıp birgde modda çalıştırınız.
Sonrasında asdm açıp configration > interface > outside içine girip ppoe seçip kullanıcı adı ve şifresini giriniz.
asdm ana menüde real ip yi gördünüzmü tamamaıdr...
Gönderildi : 24/09/2008 02:14
Konu başlatıcı
yarin ilk isim dediklerinizi uygulamak olacak, cok tesekkur ediyorum.
Gönderildi : 24/09/2008 02:31
Rica ederim iyi geceler....
Gönderildi : 24/09/2008 02:37
Konu başlatıcı
dediğiniz gibi yaptım herşey yolunda gitti sayılır. Su an internal network dışarıya ulaşıyor ama dış networkten herhangi birisi iç networkteki web servera ulaşamıyor
Gönderildi : 24/09/2008 16:18
Tamam o zaman şimdı configration kısmında nat dan bir statik nat yazıp nat-t de işaretleyip gerekli ipleri ve portları yazacaksınız. sonrasında ise access-list bölümünde outside incoming e bir kural yaıp o nat için izin vermelisiniz.
İyi çalışmalar.
Gönderildi : 24/09/2008 16:32
Konu başlatıcı
yapıyorum ama çalıştıramadım sabahtan beri
Gönderildi : 24/09/2008 19:19
Selam ;
Asdm yi cok fazla kullanmadigim icin tam yerlerini soyleyemiyecegim ama konsoldan asagidaki satirlari yazarsan yonlendirmeyi calistirabilirsin.XXX.XXX.XXX.XXX yerine portu yonlendirmek istedigin ip adresini yazman gerekiyor.
access-list outside_access_in extended permit tcp any interface outside eq 80
static (inside,outside) tcp interface 80 XXX.XXX.XXX.XXX 80 netmask 255.255.255.255
access-group outside_access_in in interface outside
Gönderildi : 24/09/2008 19:30
Konu başlatıcı
konsolu kullanarak yazdım dediklerinizi ama sadece dışarı çıkanlara izin veriyor. İçeriye giremiyorlar. Ben buraya configurasyonumu koyacagım vakti olan arkadaslar bakarsa cok sevinirim. Bu arada ben tırmalamaya devam ediyorum.
Firewall(config)# sh run
: Saved
:
ASA Version 7.2(2)
!
hostname Firewall
domain-name xxxxx.com
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group ttnet
ip address pppoe setroute
!
interface Vlan3
no nameif
security-level 50
no ip address
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
switchport access vlan 2
!
interface Ethernet0/5
switchport access vlan 2
!
interface Ethernet0/6
switchport access vlan 2
!
interface Ethernet0/7
switchport access vlan 2
!
passwd 2KFQnbNIdI.2KYOU encrypted
banner motd SISTEME GIRIS YAPMAK YASAKTIR
ftp mode passive
dns server-group DefaultDNS
domain-name xxxxxxx.com
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list outside_access_in extended permit tcp any host 192.168.2.220 eq http
s
access-list outside_access_in extended permit tcp any interface outside eq www
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
nat-control
global (inside) 1 192.168.2.2-192.168.2.254 netmask 255.255.255.0
global (outside) 1 interface
static (inside,outside) tcp interface www 192.168.2.220 www netmask 255.255.255.
255
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 X.X.X.X 1 (xler burada statik ipim oluyor)
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.2.220 255.255.255.255 inside
http 192.168.2.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group ttnet request dialout pppoe
vpdn group ttnet localname xxxxx@ttnet
vpdn group ttnet ppp authentication pap
vpdn username xxxxxx@ttnet password ********* store-local
dhcpd dns 192.168.2.1
dhcpd domain xxxxxxx.com
dhcpd auto_config outside
!
dhcpd address 192.168.2.2-192.168.2.254 inside
dhcpd enable inside
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:8c1d8d3307580f46516c21b5f194aa46
: end
Gönderildi : 24/09/2008 19:59
outside ve inside networkler asa üzerinde hangi portlara baglı tam olarak ?
Gönderildi : 24/09/2008 20:42
Şunları denermisiniz.
FIREWALL#access-list OUTSIDE_IN permit ip any host xxx.xxx.xxx.x ( Burada x olan yere Cisco ASA cihazın outside ip adresini girin.)
FIREWALL#access-list OUTSIDE_IN permit tcp any host xxx.xxx.xxx.x eq 80
FIREWALL#access-list OUTSIDE_IN permit tcp any host xxx.xxx.xxx.x eq 443
FIREWALL#access-list OUTSIDE_IN permit ip any xxx.xxx.xxx.x/yyy.yyy.yyy.y ( Burada x olan yere outside ip 'ye ait Network ID girin. Örn:172.30.2.0 gibi. y olan kısma ise subnet mask giriniz.
FIREWALL# access-group OUTSIDE_IN in interface outside
Yukarıdaki komutları açıklayacak olursak 1. komutta web sunucumuzu (kendisine ait adresi tanımlayarak) erişimine izin verdik.
2.komutta ise web sunucumuza hangi portlardan erişilebileceğini biz burada ( 80 , 443 ) olarak tanımladım.
Sonraki komutta ise tüm belirttiğim ip bloğuna ( IP olarak ) izin verdim.
Sonrasında ise outside bacağımıza ACL uyguladık.
Birde PIX/ASA cihazlar üzerinde web sunucunun 80 HTTP portu yönlendirmek için ise ;
FIREWALL#static <inside,outside> tcp xxx.xxx.xxx.xx 80 10.10.10.5 80 ( Buradaki x yine sizin outside ip adresiniz.Ve 10.10.10.5 ise web sunucunun ip adresidir.)
Yukarıdaki komutta ise outside/global adrese iç web sunucumuzu statik olarak sisteme tanımladık.
kolay gelsin.
Gönderildi : 24/09/2008 21:49
Konu başlatıcı
internal için port e0/2 ye takılmış durumda
outside için yanılmıyorsam e0/6 sanırım.Su an yanımda deil ama bu şekilde sanırım
Gönderildi : 24/09/2008 22:05
Konu başlatıcı
Şunları denermisiniz.
FIREWALL#access-list OUTSIDE_IN permit ip any host xxx.xxx.xxx.x ( Burada x olan yere Cisco ASA cihazın outside ip adresini girin.)
FIREWALL#access-list OUTSIDE_IN permit tcp any host xxx.xxx.xxx.x eq 80
FIREWALL#access-list OUTSIDE_IN permit tcp any host xxx.xxx.xxx.x eq 443
FIREWALL#access-list OUTSIDE_IN permit ip any xxx.xxx.xxx.x/yyy.yyy.yyy.y ( Burada x olan yere outside ip 'ye ait Network ID girin. Örn:172.30.2.0 gibi. y olan kısma ise subnet mask giriniz.
FIREWALL# access-group OUTSIDE_IN in interface outside
Yukarıdaki komutları açıklayacak olursak 1. komutta web sunucumuzu (kendisine ait adresi tanımlayarak) erişimine izin verdik.
2.komutta ise web sunucumuza hangi portlardan erişilebileceğini biz burada ( 80 , 443 ) olarak tanımladım.
Sonraki komutta ise tüm belirttiğim ip bloğuna ( IP olarak ) izin verdim.
Sonrasında ise outside bacağımıza ACL uyguladık.
Birde PIX/ASA cihazlar üzerinde web sunucunun 80 HTTP portu yönlendirmek için ise ;
FIREWALL#static <inside,outside> tcp xxx.xxx.xxx.xx 80 10.10.10.5 80 ( Buradaki x yine sizin outside ip adresiniz.Ve 10.10.10.5 ise web sunucunun ip adresidir.)
Yukarıdaki komutta ise outside/global adrese iç web sunucumuzu statik olarak sisteme tanımladık.
kolay gelsin.
yarın sabah hemen deneyeceğim, inşallah işe yarar. Ayrıca yardımlarınız için çok teşekkür ediyorum
Gönderildi : 24/09/2008 22:08
Konu başlatıcı
sizin dediklerinizide yaptım packet tracerdan gene geçmedi. Başarısız gösteriyordu. Her neyse sonra dedimki dışarıdan bir girmeye çalışalım bakalım packet tracer kullanmayarak deneyim ve girdi. Aslında bu adi cihaz çalışıyormuş ama anlamadım neden problem gösteriyordu packet tracer. Çalışan configi buraya koyacagım isteyen arkadaslarada ornek olur. Hepinize çok teşekkürler
Firewall(config)# copy running-config startup-config
Source filename [running-config]?
Cryptochecksum: dbc19db2 e83ddf4b 8813e8f6 0456585e
3238 bytes copied in 1.380 secs (3238 bytes/sec)
Firewall(config)# sh run
: Saved
:
ASA Version 7.2(2)
!
hostname Firewall
domain-name service-tr.com
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
pppoe client vpdn group ttnet
ip address pppoe setroute
!
interface Vlan3
no nameif
security-level 50
no ip address
!
interface Ethernet0/0
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
switchport access vlan 2
!
interface Ethernet0/5
switchport access vlan 2
!
interface Ethernet0/6
switchport access vlan 2
!
interface Ethernet0/7
switchport access vlan 2
!
passwd 2KFQnbNIdI.2KYOU encrypted
banner motd SISTEME GIRIS YAPMAK YASAKTIR
ftp mode passive
dns server-group DefaultDNS
domain-name service-tr.com
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list outsideInBound extended permit tcp any host x.x.198.155 eq www
access-list outsideInBound extended permit tcp any host x.x.198.155 eq https
access-list outsideInBound extended permit tcp any host x.x.198.155 eq smtp
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp interface https 192.168.2.220 https netmask 255.255.
255.255
static (inside,outside) tcp interface www 192.168.2.220 www netmask 255.255.255.
255
access-group outsideInBound in interface outside
route outside 0.0.0.0 0.0.0.0 x.x.198.155 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.2.220 255.255.255.255 inside
http 192.168.2.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group ttnet request dialout pppoe
vpdn group ttnet localname servis@ttnet
vpdn group ttnet ppp authentication pap
vpdn username servis@ttnet password ********* store-local
dhcpd dns 192.168.2.1
dhcpd domain servis-tr.com
dhcpd auto_config outside
!
dhcpd address 192.168.2.2-192.168.2.219 inside
dhcpd enable inside
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:a3a7ee15a9f4ac39f1b19971762061fa
: end
Gönderildi : 25/09/2008 13:07
Benim dediklerim olmadı derken ,dışarında mı girmedi ? yoksa içerden mi ? Çünkü verdiğim config çalışan bir sistemde var.
Gönderildi : 25/09/2008 13:36
Sayfa 1 / 3
Sonraki
