incomprehension firewall ASA5510

incomprehension firewall ASA5510 - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 25-04-2008 à 12:52:38    

Bonjour,  
 
Je suis entrain de tester mon ASA5510 en tant que firewall
 
shema:
 
Wan------(192.168.16.169)ASA(172.16.10.1)-----Lan
 
Avec l'asdm j'ai crée ces ACL:
 
access-list wan_access_in extended permit tcp any any
access-list wan_access_out extended permit tcp any any
access-list lan_access_out extended permit ip any any
access-list lan_access_in extended permit ip any any
 
avec le paquet tracert, ou quand j'envoie des requetes a partir du reseau wan vers l'interface wan de l'asa, tous mes paquets sont droppés par l'acl implicite :
 
TCP access denied by ACL from 192.168.16.93/15305 to wan:192.168.16.169/22
 
Je suis perdu .... j'ai l'habitude d'iptables et je n'arrive a rien avec mon ASA
 
Sinon, y a pas de regle Forward ?


Message édité par dam1330 le 25-04-2008 à 12:56:49
Reply

Marsh Posté le 25-04-2008 à 12:52:38   

Reply

Marsh Posté le 29-04-2008 à 13:30:33    

personne ?

Reply

Marsh Posté le 29-04-2008 à 14:28:01    

as-tu appliqué tes access lists sur tes interfaces ? :)


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 30-04-2008 à 10:36:49    

j'ai ca:
 
access-group wan_access_in in interface wan
access-group wan_access_out out interface wan
access-group lan_access_in in interface lan
access-group lan_access_out out interface lan
 
 
ce n'est pas bon ?
 
 
voila toute ma config
 

Code :
  1. : Saved
  2. :
  3. ASA Version 8.0(2)
  4. !
  5. hostname ciscoasa
  6. domain-name default.domain.invalid
  7. enable password 8Ry2YjIyt7RRXU24 encrypted
  8. names
  9. name 172.16.10.100 serveur_ssh
  10. dns-guard
  11. !
  12. interface Ethernet0/0
  13. nameif wan
  14. security-level 0
  15. ip address 192.168.16.169 255.255.255.0
  16. !
  17. interface Ethernet0/1
  18. nameif lan
  19. security-level 50
  20. ip address 172.16.10.1 255.255.255.0
  21. !
  22. interface Ethernet0/2
  23. shutdown
  24. no nameif
  25. no security-level
  26. no ip address
  27. !
  28. interface Ethernet0/3
  29. shutdown
  30. no nameif
  31. no security-level
  32. no ip address
  33. !
  34. interface Management0/0
  35. shutdown
  36. nameif management
  37. security-level 100
  38. ip address 192.168.1.1 255.255.255.0
  39. management-only
  40. !
  41. passwd 2KFQnbNIdI.2KYOU encrypted
  42. !
  43. time-range tout_le_temps
  44. periodic daily 0:00 to 23:59
  45. !
  46. boot system disk0:/asa802-k8.bin
  47. boot system disk0:/asa724-k8.bin
  48. ftp mode passive
  49. clock timezone CEST 1
  50. clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
  51. dns server-group DefaultDNS
  52. domain-name default.domain.invalid
  53. same-security-traffic permit inter-interface
  54. same-security-traffic permit intra-interface
  55. object-group protocol DM_INLINE_PROTOCOL_3
  56. protocol-object udp
  57. protocol-object tcp
  58. object-group protocol TCPUDP
  59. protocol-object udp
  60. protocol-object tcp
  61. object-group service tous_les_protocoles
  62. service-object ip
  63. service-object udp
  64. service-object tcp
  65. service-object tcp eq ssh
  66. access-list wan_access_in extended permit object-group tous_les_protocoles any any
  67. access-list wan_access_out extended permit object-group tous_les_protocoles any any
  68. access-list lan_access_out extended permit object-group tous_les_protocoles any any
  69. access-list lan_access_in extended permit object-group tous_les_protocoles any any
  70. pager lines 24
  71. logging enable
  72. logging asdm informational
  73. mtu wan 1500
  74. mtu lan 1500
  75. mtu management 1500
  76. ip verify reverse-path interface wan
  77. ip verify reverse-path interface lan
  78. no failover
  79. icmp unreachable rate-limit 1 burst-size 1
  80. asdm image disk0:/asdm-611.bin
  81. no asdm history enable
  82. arp timeout 14400
  83. nat-control
  84. static (wan,lan) tcp serveur_ssh ssh 192.168.16.169 ssh netmask 255.255.255.255
  85. access-group wan_access_in in interface wan
  86. access-group wan_access_out out interface wan
  87. access-group lan_access_in in interface lan
  88. access-group lan_access_out out interface lan
  89. timeout xlate 3:00:00
  90. timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
  91. timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
  92. timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
  93. timeout uauth 0:05:00 absolute
  94. dynamic-access-policy-record DfltAccessPolicy
  95. http server enable
  96. http 192.168.16.0 255.255.255.0 wan
  97. http 192.168.1.0 255.255.255.0 management
  98. no snmp-server location
  99. no snmp-server contact
  100. snmp-server enable traps snmp authentication linkup linkdown coldstart
  101. no crypto isakmp nat-traversal
  102. telnet timeout 5
  103. ssh timeout 5
  104. console timeout 0
  105. dhcpd address 192.168.1.2-192.168.1.254 management
  106. dhcpd enable management
  107. !
  108. threat-detection basic-threat
  109. threat-detection statistics
  110. !
  111. class-map inspection_default
  112. match default-inspection-traffic
  113. !
  114. !
  115. policy-map global_policy
  116. class inspection_default
  117.   inspect ftp
  118.   inspect h323 h225
  119.   inspect h323 ras
  120.   inspect rsh
  121.   inspect rtsp
  122.   inspect esmtp
  123.   inspect sqlnet
  124.   inspect skinny 
  125.   inspect sunrpc
  126.   inspect xdmcp
  127.   inspect sip 
  128.   inspect netbios
  129.   inspect tftp
  130. !
  131. service-policy global_policy global
  132. prompt hostname context
  133. Cryptochecksum:f6a38ff7659681e46924a5bd64e9f5d0
  134. : end
  135. asdm image disk0:/asdm-611.bin
  136. asdm location serveur_ssh 255.255.255.255 management
  137. no asdm history enable


Message édité par dam1330 le 30-04-2008 à 10:46:16
Reply

Marsh Posté le 30-04-2008 à 11:36:15    

balance un show logging


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 30-04-2008 à 13:36:33    

ciscoasa# show logging
Syslog logging: enabled
    Facility: 20
    Timestamp logging: disabled
    Standby logging: disabled
    Deny Conn when Queue Full: disabled
    Console logging: disabled
    Monitor logging: disabled
    Buffer logging: disabled
    Trap logging: disabled
    History logging: disabled
    Device ID: disabled
    Mail logging: disabled
    ASDM logging: level informational, 4112 messages logged

Reply

Marsh Posté le 30-04-2008 à 14:07:31    

merde, c'est pas la bonne commande. Balance les syslog vers un serveur, sinon utilise le packet tracer avec ASDM pour simuler un flux et voir ou ça coince :)


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 30-04-2008 à 14:25:31    

je l'ai deja fait ca, pour n'imprte quelle requete c'est mon acl implicite (deny) qui est appliquée

Reply

Marsh Posté le 30-04-2008 à 15:15:52    

récris donc tes access-lists en "permit ip any any" (sans utiliser les object-group) en fonction de la version ça devrait fonctionner


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 30-04-2008 à 16:38:54    

access-list 1 extended permit ip any any  
access-group 1 in interface wan
 
rien a faire, meme constat

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed