Jump to content

ASA5512x 8.6 Routing dmz <-> inside


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Gemeinde,

 

ich hab entweder ein Verständnisproblem oder ich sehe den Wald vor lauter Bäumen nicht mehr.

Ich möchte zwischen einem DMZ interface und dem inside Interface bestimmte Pakete erlauben und einige verwerfen. Um das Umzusetzen habe ich mir gedacht, dass Objektgruppen und Access-Lists dafür ausreichen sollten. Konfiguriert habe ich so:

 

interface gigabit0/1 
 nameif inside
 security-level 100
 ip address 10.0.1.1 255.255.255.0
 no shutdown

interface gigabit0/2
 nameif dmz
 security-level 50
 ip address 10.0.254.1 255.255.255.0
 no shut

object-group network INSIDE_NET
 network-object 10.0.1.0 255.255.255.0
 network-object 10.0.2.0 255.255.255.0
 network-object 10.0.3.0 255.255.255.0

object-group network DMZ_NET
 network-object 10.0.254.0 255.255.255.0

access-list dmz_inside permit tcp host 10.0.254.50 host 10.0.1.20 eq 443
access-list dmz_inside deny ip object-group DMZ_NET object-group INSIDE_NET
access-list dmz_insdie permit ip any any

access-group dmz_inside in interface dmz

Das isteressante ist, dass wenn ich den "packet-tracer" anschmeisse ich die Pakete durchbekomme, aber wenn ich das Paket physikalisch abschicke leider nichts ankommt.

 

ciscoasa# packet-tracer input dmz tcp 10.0.254.50 43434 10.0.1.20 443 detailed

Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   10.0.1.0        255.255.255.0   inside

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group dmz_inside in interface DMZ
access-list dmz_inside extended permit tcp host 10.0.254.50 host 10.0.1.20 eq https
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0x7fffa3dac520, priority=13, domain=permit, deny=false
        hits=47, user_data=0x7fff9ecbc2c0, cs_id=0x0, use_real_addr, flags=0x0, protocol=6
        src ip/id=10.0.254.50, mask=255.255.255.255, port=0
        dst ip/id=10.0.1.20, mask=255.255.255.255, port=443, dscp=0x0
        input_ifc=DMZ, output_ifc=any

Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0x7fffa2aa8440, priority=0, domain=inspect-ip-options, deny=true
        hits=647, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
        input_ifc=DMZ, output_ifc=any

Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
 Reverse Flow based lookup yields rule:
 in  id=0x7fffa2a53140, priority=0, domain=inspect-ip-options, deny=true
        hits=3853269, user_data=0x0, cs_id=0x0, reverse, flags=0x0, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, dscp=0x0
        input_ifc=inside, output_ifc=any
Phase: 5
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 4388308, packet dispatched to next module
Module information for forward flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_tcp_normalizer
snp_fp_translate
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Module information for reverse flow ...
snp_fp_tracer_drop
snp_fp_inspect_ip_options
snp_fp_translate
snp_fp_tcp_normalizer
snp_fp_adjacency
snp_fp_fragment
snp_ifc_stat

Result:
input-interface: DMZ
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow

Für jeden Tipp bin ich dankbar.

 

Gruß

 

 

Link zu diesem Kommentar
  • 2 Wochen später...

sieht man doch, https von  10.0.254.50 auf  10.0.1.20.

 

Soweit man die config beurteilen kann passt das alles so weit. Ich würde noch captures auf dem inside und dem dmz interface aufsetzen, dann siehst du ja genau ob da überhaupt Pakete ankommen und ob sie beim inside Interface wieder rauspurzeln. Dann siehst du gleich ob es an der FW oder an etwas anderes liegt (Routingtable auf Routern oder eben dern Servern, acl/firewall auf den Endsystemen,....)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...