Backtrack et firewall asa

Bonsoir ;

1/ La configuration sous GNS3:

ciscoasa(config)# conf t
ciscoasa(config)# interface ethernet 0/0
ciscoasa(config-if)# ip address 192.168.0.1 255.255.255.0
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# interface ethernet 0/1
ciscoasa(config-if)# ip address 192.168.68.3 255.255.255.0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# no shut
ciscoasa(config-if)# exit
ciscoasa(config)# exit
ciscoasa# ping 192.168.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ciscoasa# ping 192.168.68.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.68.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/4/10 ms


adresse IP de ma machine Backtrack est 192.168.68.2 , le ping est positif

2/ Ma machine Backtrack:

root@bt:~# ifconfig
eth1 Link encap:Ethernet HWaddr 00:0c:29:20:b4:70
inet addr:192.168.68.4 Bcast:192.168.68.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:fe20:b470/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3 errors:0 dropped:0 overruns:0 frame:0
TX packets:38 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:746 (746.0 B) TX bytes:2412 (2.4 KB)
Interrupt:19 Base address:0x2024

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:24 errors:0 dropped:0 overruns:0 frame:0
TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1791 (1.7 KB) TX bytes:1791 (1.7 KB)

root@bt:~# ping 192.168.0.1
connect: Network is unreachable

le Ping est KO

tu es donc bien dans le cas que j'ai exposé plus haut, tu ping une interface de l'asa en venant d'une autre interface et cela l'ASA n'accepte pas et il n'y a rien que l'on puisse faire pour changer ce comportement.
Maintenant tu ne pourras pas faire un ping d'une machine sur une l'interface eth0/0 vers une machine sur l'autre interface sans faire soit:
- icmp inspection
- configurer une ACL en inbound sur l'interface eth0/1 qui laisse passer ICMP
En ce qui concerne le ping d'une machine de outside vers inside, il te faut aussi appliquer cette ACL sur outside;

Alain

Bonsoir;

Sur ETH 0/0 j'ai appliqué cette ACL et ça a bien marché ; avec packet tracer sur ASDM j'obtiens :the paquet is allowed

ciscoasa(config)# access-list OUTSIDE extended permit tcp host 192.168.0.2 HOst 192.168.68.2 eq 80
ciscoasa(config)# access-group OUTSIDE out interface outside



Sur ETH 0/1 j'ai appliqué cette ACL pour le trafic entrant mais je ne suis pas sure si ça marche ou pas:

access-list inside_access_in permit icmp any any
access-list inside_access_in permit ip any any
access-group inside_access_in in interface inside


pouvez vous me renseinger , je pense que la 2ieme ACL n'est pas correcte

outside = eth0/1 donc la première ACL est appliquée sur l'interface outside et permet à la machine 192.168.0.2 de communiquer avec la machine 192.168.3.2 sur le port 80.
il y a donc un problème car sur cette interface les paquets entrants n'auront jamais une source en 192.168.0.x et donc ils vont matcher le implicit deny à la fin.
cela ne peut marcher que si vous aviez déjà un flux TCP établi avant d'appliquer l'ACL et cela ne permettra pas à une machine en outside d'intier un ping vers une machine en inside et aussi les echo-replies.
Concernant la deuxième ACL , il n'y a pas besoin d'ACL sur inside et de plus pourquoi faire un permit icmp si on fait un permit any any après( ICMP= IP) car c'est redondant.
Il faudrait ajouter la deuxième ligne à la premiere ACL sur outside et modifié cette ACL en inversant source et dest pour le traffic TCP

bonjour Mr j'espère que vous allez bien , en fait j'ai essayé d'appliquer cette ACL comme vous m'avez dit mais le paquet est toujours refusé , je sais pas quoi faire ?