форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Вопрос по ASA и ACL для сетей одинаковым security-level"

Сообщение от andrew278 (ok) on 03-Апр-09, 18:06

Вопрос по ASA и ACL для сетей одинаковым security-level : http://www.cisco.com/image/gif/paws/81815/generic_ports5.gif - примерная схема сети interface Ethernet0/0 nameif DMZ security-level 50 ip address 172.16.1.1 255.255.252.0 interface Ethernet0/3 nameif DMZ2 security-level 50 ip address 172.16.2.1 255.255.255.0 Вопрос в следующием - можно или используя только acl (не используюя NAT) разрешать сети DMZ2 подключаться к серверу SRV-DMZ? И пользователям сети DMZ подключаться к серверу SRV-DMZ2? Или это можно сделать только при помощи nat? Рутинг везде прописан. При same-security-traffic permit inter-interface - все ходит в обе стороны, не только на серваки но и вообще между собой DMZ - DMZ2, это понятно. Но не работают acl, даже когда я пытаюсь симитировать same-security-traffic permit inter-interface ! Правила тривиальны: access-list acltest extended permit tcp any any access-group acltest in interface DMZ access-group acltest out interface DMZ access-group acltest in interface DMZ2 access-group acltest out interface DMZ2 Устанавливаю соединение на SRV-DMZ2 из сети DMZ и в логах вижу что  Inbound TCP connection denied from DMZ (адреса убрал) to DMZ2 flags SYN  on interface DMZ Что с acl не так? Или так в принципе не будет работать, нужно через NAT/PAT обязательно делать?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Вопрос по ASA и ACL для сетей одинаковым security-level"

Сообщение от gagner (ok) on 03-Апр-09, 18:49

насколько я помню, если у портов одинаковый левел - травик между ними не пойдет в принципе. измените левел - и все будет хорошо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Вопрос по ASA и ACL для сетей одинаковым security-level"
	Сообщение от andrew278 (ok) on 03-Апр-09, 20:37
	>насколько я помню, если у портов одинаковый левел - травик между ними >не пойдет в принципе. измените левел - и все будет хорошо. > Т.е. только через Nat? Рутингом и ACL никак? Сети-то равноправные, коннеции - двусторонние, юзеры одной сети к сервакам в другой и наоборот. Пачку Nat не хотелось бы плодить. Или тогда включать same-security-traffic permit inter-interface и блокировать траффик acl-ми? Не совсем все-таки понятна логика, особенно после ipfw и iptables. =)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Вопрос по ASA и ACL для сетей одинаковым security-level"

Сообщение от andrew278 (ok) on 06-Апр-09, 09:46

Т.е. вариантов нет? Включать same-security-traffic permit inter-interface и блокировать лишний траффик acl-ми?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Вопрос по ASA и ACL для сетей одинаковым security-level"
	Сообщение от gagner (ok) on 06-Апр-09, 13:12
	1. SRV-DMZ - это кто и где? 2. как у тебя ходит трафик (какой?)  DMZ - DMZ2 - я не понимаю. )) по идее при одинаковых security-level'ах пакеты в принципе не ходят между интерфейсами. 3. если абстрагироваться, то, имхо, нет необходимости рисовать асл на in и на out одновременно. добавь permit icmp any any для проверки торжеством пинга. 4. зачем при таком раскладе same-security-traffic permit inter-interface - если честно не понимаю. всегда думала, что это для впнов фишечка. итого, мне все-таки кажется, что у вас между вашими дмз трафик не ходит. )) не из-за асл и т.п. а из-за секьюрити левелов - сделайте security-level 40 для fa0/0.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Вопрос по ASA и ACL для сетей одинаковым security-level"
	Сообщение от andrew278 (ok) on 07-Апр-09, 09:24
	>1. SRV-DMZ - это кто и где? Это сервак в сети DMZ. Вопрос был в следующем, что есть две равнозначные сети, висят на разных интерфейсах  ASA. Юзеры одних - цепляются к серверам других и наоборот. Вопрос был в том чтобы не плодить когорты nat для серваков обоих сетей, а обойтись тривиальным рутингом и ACL. Вопрос в том - как это прописывать исходя из идеологии ASA. Назначать разные levels на сети, в одну сторону блочить лишний траффик при помощи acl, а в другую nat? Либо включить same-security-traffic permit inter-interface и блочить лишний траффик при помощи acl?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]