ASA 5505 Portforwarding

[MikeS 10]

Hallo, habe folgendes Problem, habe mir eine ASA 5505 geleistet und wollte mich ein wenig in die Firewall einarbeiten, bekomme aber keine Portweiterleitung hin, wenn ich aus dem ASDM den Packet Tracer mir anschaue bleibt das Packet bei NAT Lookup immer auf der Strecke...

 

Hier ist mal meine Config, wäre super wenn jemand ne Idee hätte :-)

 

 

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface

access-list inside_access_in extended permit tcp 192.168.16.0 255.255.255.0 eq www any eq www

access-list inside_access_in extended permit ip 192.168.16.0 255.255.255.0 any

access-list inside_access_in extended permit udp 192.168.16.0 255.255.255.0 eq domain any eq domain

access-list outside_access_in extended permit tcp any eq ftp host Exchange eq ftp

access-list outside_access_in extended permit tcp any eq ftp-data host Exchange eq ftp-data

access-list outside_access_in extended permit tcp any eq smtp host Exchange eq smtp

access-list outside_access_in extended permit ip any 192.168.16.0 255.255.255.0

 

 

icmp unreachable rate-limit 1 burst-size 1

icmp deny any outside

asdm image disk0:/asdm-522.bin

no asdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

static (inside,outside) tcp interface ftp Exchange ftp netmask 255.255.255.255

static (inside,outside) tcp interface smtp Exchange smtp netmask 255.255.255.255

static (inside,outside) tcp interface ftp-data Exchange ftp-data netmask 255.255.255.255

static (inside,outside) tcp interface www Exchange www netmask 255.255.255.255

access-group inside_access_in in interface inside

access-group outside_access_in in interface outside

timeout xlate 3:00:00

 

 

class-map inspection_default

match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

parameters

message-length maximum 512

policy-map global_policy

class inspection_default

inspect dns preset_dns_map

inspect h323 h225

inspect h323 ras

inspect rsh

inspect rtsp

inspect esmtp

inspect sqlnet

inspect skinny

inspect sunrpc

inspect xdmcp

inspect sip

inspect netbios

inspect tftp

inspect icmp

inspect ftp strict

!

service-policy global_policy global

prompt hostname context

: end

[mturba 10]

Zunächst solltest du deine Accesslisten überdenken - ist es z.B. wirklich sinnvoll, Verbindungen zum FTP-Port nur zuzulassen, wenn der Absender auch der FTP-Port ist? Ebenso für www oder domain - hier kommen für die Anfrage als Absenderports meist Random-Ports zum Einsatz...

 

Welcher Zugriff funktioniert denn schon? Oder noch garnix?

[MikeS 10]

Ok, habe das mal geändert, leuchtet mir auch! :-)

 

 

so ist es jetzt:

 

access-list outside_access_in extended permit tcp any host Exchange eq ftp

access-list outside_access_in extended permit tcp any host Exchange eq ftp-data

access-list outside_access_in extended permit tcp any host Exchange eq smtp

 

leider geht immernoch nichts rein....

[MYOEY 10]

was sagt "sho logg"?

welche Meldungen siehtst du da auf der ASA?

 

Grüße

 

MYOEY

[MikeS 10]

Result of the command: "sho logg"

 

Syslog logging: enabled

Facility: 20

Timestamp logging: disabled

Standby logging: disabled

Deny Conn when Queue Full: disabled

Console logging: disabled

Monitor logging: disabled

Buffer logging: disabled

Trap logging: disabled

History logging: disabled

Device ID: disabled

Mail logging: disabled

ASDM logging: level informational, 21257 messages logged

 

 

 

Wenn ne mail reinkommen sollte, bekomme ich diese fehlermeldung:

 

4 Jun 17 2007 13:21:00 106023 62.140.23.33 87.79.XXX.XXX Deny tcp src outside:62.140.23.33/44448 dst inside:87.79.XXX.XXX/25 by access-group "outside_access_in" [0x0, 0x0]

 

 

 

Edit:

 

 

So jetzt bringe ich das Teil wohl langsam unter kontroller :-D

 

 

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface

access-list inside_access_in extended permit tcp 192.168.16.0 255.255.255.0 any eq www

access-list inside_access_in extended permit udp 192.168.16.0 255.255.255.0 any eq domain

access-list inside_access_in extended permit tcp 192.168.16.0 255.255.255.0 any eq https

access-list outside_access_in extended permit tcp any any eq smtp

 

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

static (inside,outside) tcp interface smtp Exchange smtp netmask 255.255.255.255

access-group inside_access_in in interface inside

access-group outside_access_in in interface outside

 

 

Jetzt geht es, das einzige was mir überhaupt nicht gefällt ist die böse "any, any" regel für Outside inside, habe mich jetzt erstmal auf den Mailversand beschränkt! Sobald ich jedoch die Outside_access_in Regel ein wenig verändere geht nichts mehr mit meinen Mails! Hat vielleich jemand ein Beispiel wie es sein müsste!?

 

vielen dank schonmal im vorraus

 

Gruß MikeS

[czappb 10]

dann nimm halt die interface ip als Ziel:

access-list outside_access_in extended permit tcp any interface outside eq smtp

[MYOEY 10]

und läuft jetzt?

[MYOEY 10]

d. h. das Problem lag an " any any" oder was?

Ist dein Exchange von draußen erreichbar?

 

Gilt das nur für TCP oder auch für UDP?

Kannst du mal bitte versuchen, eine UDP Portforwarding hinzukriegen!

Ich hab's leider nicht hingekriegt :-(

 

Gruß

 

MYOEY

[MikeS 10]

Super, danke für den Tip, jetzt bin ich zufrieden :-D

 

Edit:

Jetzt habe ich die Regel so:

access-list outside_access_in extended permit tcp any interface outside eq smtp

 

in kombination mit dieser statischen NAT Regel:

static (inside,outside) tcp interface smtp Exchange smtp netmask 255.255.255.255

 

Ich wüsste jetzt so spontan nicht, was ich an UDP Forwarden sollte:-?

[MYOEY 10]

Ich habe die folgende statische NAT:

static (inside,outside) udp interface 4444 192.168.1.1 4444 netmask 255.255.255.255

 

und die folgende access-listen:

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface

access-list outside_access_in extended permit udp any host interface eq 4444

access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq www

access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq https

access-list inside_access_in extended permit udp 192.168.1.0 255.255.255.0 any eq domain

 

und trotzdem funktioniert die statische NAT nicht!! ich bekomme ständig die folgende Meldung im logg:

 

%ASA-7-710005: UDP request discarded from x.x.x.x/1026 to outside:interface/4444

 

 

Es ist mir auch aufgefallen daß die access-list überhaupt nicht gematcht sind!!!

access-list outside_access_in line 1 extended permit udp any host interface eq 4444 (hitcnt=0)

 

 

hab ich da was übersehen oder was??

 

 

Könntest du mal bitte dein config posten?

 

Gruß & Danke

[czappb 10]

wie wäre es in der outside_access_in mit einem ordentlichen ziel?

 

entweder host xxx oder interface xxx, oder heißt der zielhost "interface"?

Wie wäre die Zeile:

access-list outside_access_in extended permit udp any interface outside eq 4444

??

[MYOEY 10]

Mit "interface" war "Zielhost" gemeint bzw die IP adresse des outside-Interfaces!

 

die access-list sieht folgermassen aus:

 

access-list outside_access_in extended permit udp any host x.x.x.x eq 4444

 

aber die access-list wird nicht mal gematcht und die ASA dropt einfach die packets!!!

 

mit "sho conn" sehe ich auch überhaupt keine connection!

 

sho xlate :

 

ASA5505# sho xlate

 

1 in use, 1 most used

PAT Global x.x.x.x(4444) Local 192.168.1.1(4444)

 

 

Edit:

ASA5505# sho asp dro

 

Frame drop:

Flow is denied by configured rule 242390

TCP DUP and has been ACKed 2

Interface is down 2

Non-IP packet received in routed mode 1

 

Flow drop:

 

 

 

hast du da noch eine Idee??

 

Danke im voruas!

 

Gruß

[MYOEY 10]

Hier mal der "packet-tracer" Versuch:

 

ASA5505# packet-tracer input outside udp y.y.y.y 9826 x.x.x.x 4444

 

Phase: 1

Type: FLOW-LOOKUP

Subtype:

Result: ALLOW

Config:

Additional Information:

Found no matching flow, creating a new flow

 

Phase: 2

Type: UN-NAT

Subtype: static

Result: ALLOW

Config:

static (inside,outside) udp x.x.x.x 4444 192.168.1.1 4444 netmask 255.255.255.255

match udp inside host 192.168.1.1 eq 4444 outside any

static translation to x.x.x.x/4444

translate_hits = 0, untranslate_hits = 242382

Additional Information:

NAT divert to egress interface inside

Untranslate x.x.x.x/4444 to 192.168.1.1/4444 using netmask 255.255.255.255

 

Phase: 3

Type: ROUTE-LOOKUP

Subtype: input

Result: ALLOW

Config:

Additional Information:

in x.x.x.x 255.255.255.255 identity

 

Phase: 4

Type: ACCESS-LIST

Subtype:

Result: DROP

Config:

Implicit Rule

Additional Information:

Forward Flow based lookup yields rule:

in id=0x353fa00, priority=0, domain=permit, deny=true

hits=242394, user_data=0x9, cs_id=0x0, flags=0x1000, protocol=0

src ip=0.0.0.0, mask=0.0.0.0, port=0

dst ip=0.0.0.0, mask=0.0.0.0, port=0

 

Result:

input-interface: outside

input-status: up

input-line-status: up

output-interface: NP Identity Ifc

output-status: up

output-line-status: up

Action: drop

Drop-reason: (acl-drop) Flow is denied by configured rule

 

 

 

ist dir mal was aufgefallen??

[czappb 10]

Ja, dann stimmt deine ACL nicht.

 

Ich mutmaße mal das hängt an einem DSL-Anschluss oder ähnlichem? und der hat eine dynamische oder feste IP?

 

Wie dem auch sei nehme ich weiter an du willst ein NAT auf die IP des outside-interface machen?

Dann nutz doch einfach mal in der ACL statt "host %interface-ip%" "interface outside"

[MYOEY 10]

Es handelt sich um einen DSL-Anschluss mit feste-IP!

 

 

config:

 

 

 

ASA5505# sho run

: Saved

:

ASA Version 7.2(2)

!

hostname ASA5505

domain-name default.domain.invalid

enable password BSlcyjpPoLLK1gk7VHE encrypted

names

!

interface Vlan1

nameif inside

security-level 100

ip address 192.168.1.254 255.255.255.0

!

interface Vlan2

nameif outside

security-level 0

ip address pppoe setroute

!

interface Ethernet0/0

switchport access vlan 2

!

interface Ethernet0/1

!

interface Ethernet0/2

!

interface Ethernet0/3

!

interface Ethernet0/4

 

!

interface Ethernet0/5

!

interface Ethernet0/6

shutdown

!

interface Ethernet0/7

shutdown

!

passwd BSlcyjpLK1gk7VHE encrypted

ftp mode passive

dns server-group DefaultDNS

domain-name default.domain.invalid

 

same-security-traffic permit inter-interface

same-security-traffic permit intra-interface

access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq www

access-list inside_access_in extended permit tcp 192.168.1.0 255.255.255.0 any eq https

access-list inside_access_in extended permit udp 192.168.1.0 255.255.255.0 any eq domain

 

access-list outside_access_in extended permit udp any interface outside eq 4444

 

pager lines 24

logging enable

logging standby

logging buffered debugging

logging trap debugging

logging asdm informational

logging host inside 192.168.1.10

mtu inside 1500

mtu outside 1500

icmp unreachable rate-limit 1 burst-size 1

icmp permit any outside

asdm image disk0:/asdm-522.bin

asdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

static (inside,outside) udp X.X.X.X 4444 192.168.1.1 4444 netmask 255.255.255.255

access-group inside_access_in in interface inside

access-group outside_access_in in interface outside

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00

timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

aaa authentication ssh console LOCAL

aaa authentication enable console LOCAL

aaa authorization command LOCAL

aaa local authentication attempts max-fail 5

http server enable

http 192.168.1.10 255.255.255.255 inside

http 192.168.1.0 255.255.255.0 inside

http 0.0.0.0 0.0.0.0 outside

no snmp-server location

no snmp-server contact

snmp-server community public

snmp-server enable traps snmp authentication linkup linkdown coldstart

sysopt noproxyarp inside

sysopt noproxyarp outside

 

telnet 192.168.1.10 255.255.255.255 inside

telnet timeout 5

ssh timeout 60

console timeout 0

vpdn group pppoe_group request dialout pppoe

vpdn group pppoe_group localname ****************@t-online-com.de

vpdn group pppoe_group ppp authentication chap

vpdn username **************@t-online-com.de password ************

dhcpd ping_timeout 750

dhcpd auto_config outside

!

dhcpd address 192.168.1.10-192.168.1.50 inside

dhcpd enable inside

!

 

!

class-map inspection_default

match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

parameters

message-length maximum 512

policy-map global_policy

class inspection_default

inspect dns preset_dns_map

inspect ftp

inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

inspect icmp

inspect http

!

service-policy global_policy global

prompt hostname context

Cryptochecksum:f0559e4df00ce61dca1a08f6057327e7

: end

 

 

was ist hier bitte verkehrt?? ooh Bin verzweifelt!!!!!

 

Schau dir mal bitte die config genau an, ob du vielleicht irgendwo einen Fehler siehst!

 

Danke!