Configuration avancée Firewall Cisco PIX 501
Marc
-
sb1403 -
sb1403 -
Bonjour,
J'ai mis en place un firewall Cisco Pix 501 entre un serveur SBS et une LiveboxPro. La configuration Nat est Ok. La configuration de base n'aura pas été trop compliquée à l'aide de bons tutoriaux. Par contre j'aimerais connaître les fonctions qui me permettraient de configurer le serveur Exchange du SBS (SMTP et POP) ainsi que la configuration pour une DB ouverte vers l'exterieur sur le firewall ? Pour la configuration avancée les tutoriaux sont beaucoup moins nombreux.
Il me semble que les fonctions sont :
object-group
access-list
access-group
Mais je ne sais quelle est la syntaxe. Il y a quelques exemples de config sur le net mais non expliqués.
Merci de votre aide.
Marc
J'ai mis en place un firewall Cisco Pix 501 entre un serveur SBS et une LiveboxPro. La configuration Nat est Ok. La configuration de base n'aura pas été trop compliquée à l'aide de bons tutoriaux. Par contre j'aimerais connaître les fonctions qui me permettraient de configurer le serveur Exchange du SBS (SMTP et POP) ainsi que la configuration pour une DB ouverte vers l'exterieur sur le firewall ? Pour la configuration avancée les tutoriaux sont beaucoup moins nombreux.
Il me semble que les fonctions sont :
object-group
access-list
access-group
Mais je ne sais quelle est la syntaxe. Il y a quelques exemples de config sur le net mais non expliqués.
Merci de votre aide.
Marc
A voir également:
- Configuration avancée Firewall Cisco PIX 501
- Code ascii pix - Guide
- Dans la table des matières de ce document le chapitre 6 et ses 2 sections n'apparaissent pas pix - Forum Word
- Python pix ✓ - Forum Python
- Image plage pix ✓ - Forum Google Chrome
- Mot secret python pix ✓ - Forum Python
18 réponses
Bonjour,
La syntaxe des translations est légèrement érronnée, de plus on ne peut faire un NAT "static" avec l'adresse du PIX sans préciser les ports (et donc faire du PAT) et en donnant l'IP, voici la bonne syntaxe pour ce que tu cherches :
#static (inside,outside) tcp interface smtp 192.168.1.2 smtp [ netmask 255.255.255.0 ] ! smtp = 25
#static (inside,outside) tcp interface pop3 192.168.1.2 pop3 [ netmask 255.255.255.0 ] ! pop3 = 110
#static (inside,outside) tcp interface https 192.168.1.2 https [ netmask 255.255.255.0 ] ! https = 443
#static (inside,outside) tcp interface 12584 192.168.1.3 12584 [ netmask 255.255.255.0 ]
Je suis surpris de l'adresse du client (une adresse privée ne peut circuler sur Internet), mais si c'est pour l'exemple et éviter de donner la vraie adresse publique tu as bien fait.
Reprenons donc ...
regrouper les services ... pourquoi pas ... en tout cas ça semble correcte sauf que tu mets deux fois SMTP
Pour l'access-list, tu dois indiquer l'adresse translatée de la machine cible et tu n'as pas préciser le port pour la connexion Base de donnée, je propose ceci :
#access-list external permit tcp any host 192.168.1.2 object-group webservices
#access-list external permit tcp host Y.Y.Y.Y host 192.168.1.3 eq 12584 ! port à vérifier
=> la dernière ligne (deny ip any any) est inutile cas ajoutée de façon implicite par le PIX
Tu mets un access-group "inside", attention à ne le faire que si une access-list est définie.
Voilà ... j'espère avoir été clair et avoir bien compris ton besoin.
La syntaxe des translations est légèrement érronnée, de plus on ne peut faire un NAT "static" avec l'adresse du PIX sans préciser les ports (et donc faire du PAT) et en donnant l'IP, voici la bonne syntaxe pour ce que tu cherches :
#static (inside,outside) tcp interface smtp 192.168.1.2 smtp [ netmask 255.255.255.0 ] ! smtp = 25
#static (inside,outside) tcp interface pop3 192.168.1.2 pop3 [ netmask 255.255.255.0 ] ! pop3 = 110
#static (inside,outside) tcp interface https 192.168.1.2 https [ netmask 255.255.255.0 ] ! https = 443
#static (inside,outside) tcp interface 12584 192.168.1.3 12584 [ netmask 255.255.255.0 ]
Je suis surpris de l'adresse du client (une adresse privée ne peut circuler sur Internet), mais si c'est pour l'exemple et éviter de donner la vraie adresse publique tu as bien fait.
Reprenons donc ...
regrouper les services ... pourquoi pas ... en tout cas ça semble correcte sauf que tu mets deux fois SMTP
Pour l'access-list, tu dois indiquer l'adresse translatée de la machine cible et tu n'as pas préciser le port pour la connexion Base de donnée, je propose ceci :
#access-list external permit tcp any host 192.168.1.2 object-group webservices
#access-list external permit tcp host Y.Y.Y.Y host 192.168.1.3 eq 12584 ! port à vérifier
=> la dernière ligne (deny ip any any) est inutile cas ajoutée de façon implicite par le PIX
Tu mets un access-group "inside", attention à ne le faire que si une access-list est définie.
Voilà ... j'espère avoir été clair et avoir bien compris ton besoin.
Bonjour,
Avant il te faudra quelques informations :
-> ports à rendre visibles sur Internet (25 = SMTP, 110 pour POP et un pour ta DB)
Ensuite les commandes, ça dépend du nombre d'adresses IP publiques disponibles et du mode de fonctionnement de la Box Pro (modem ou routeur).
Dans l'ordre il faudra :
- une ou trois translation(s) statique(s)
- créer les access-list
- appliquer l'access-list sur l'interface externe
Voilà ...
Avant il te faudra quelques informations :
-> ports à rendre visibles sur Internet (25 = SMTP, 110 pour POP et un pour ta DB)
Ensuite les commandes, ça dépend du nombre d'adresses IP publiques disponibles et du mode de fonctionnement de la Box Pro (modem ou routeur).
Dans l'ordre il faudra :
- une ou trois translation(s) statique(s)
- créer les access-list
- appliquer l'access-list sur l'interface externe
Voilà ...
Bonjour,
Merci ianvs pour ta réponse. Les ports à rendre accessible mais masqués depuis internet sont effectivement les 25,110,443 pour Exchange, et 12584 ou quelque chose comme ca pour la base de donnee qui n'est accessible que depuis une seule adresse IP (Y.Y.Y.Y). La liveBox Pro route tous ces ports vers le Cisco ; maintenant je souhaiterais qu'ils soient redirigés vers le serveur.
Par exemple :
L'IP publique est x.x.x.x
L'IP de la LiveBox est : 192.168.0.1
L'IP Outside du PIX est 192.168.0.2
L'IP Inside du PIX est 192.168.1.1
L'IP du serveur exchange est 192.168.1.2
L'IP de la Base de données est 192.168.1.3
L'IP d'un poste client connecte au serveur SBS (Exchange) : 192.168.16.10
Est-ce-que la configuration suivante te semble correcte ?
--Translations statiques :
#static (outside) 192.168.0.2 192.168.1.2 netmask 255.255.255.0
#static (outside) 192.168.0.2 192.168.1.3 netmask 255.255.255.0
--Création Access List
#port-object service webservices tcp
#port-object eq smtp
#port-object eq pop
#port-object eq https
#port-object eq smtp
#access-list external permit tcp any host 192.168.1.2 object-group webservices
#access-list external permit tcp any host 192.168.1.3 (Ici je ne sais comment indiquer que seule l'ip Y.Y.Y.Y (Qui se trouve sur le Web) pourra accéder au serveur de base de données)
#access-list external deny ip any any
--Application des Access List sur interface
#access group external in interface outside
#access group internal in interface inside
Merci beaucoup de ton aide !
Marc
Merci ianvs pour ta réponse. Les ports à rendre accessible mais masqués depuis internet sont effectivement les 25,110,443 pour Exchange, et 12584 ou quelque chose comme ca pour la base de donnee qui n'est accessible que depuis une seule adresse IP (Y.Y.Y.Y). La liveBox Pro route tous ces ports vers le Cisco ; maintenant je souhaiterais qu'ils soient redirigés vers le serveur.
Par exemple :
L'IP publique est x.x.x.x
L'IP de la LiveBox est : 192.168.0.1
L'IP Outside du PIX est 192.168.0.2
L'IP Inside du PIX est 192.168.1.1
L'IP du serveur exchange est 192.168.1.2
L'IP de la Base de données est 192.168.1.3
L'IP d'un poste client connecte au serveur SBS (Exchange) : 192.168.16.10
Est-ce-que la configuration suivante te semble correcte ?
--Translations statiques :
#static (outside) 192.168.0.2 192.168.1.2 netmask 255.255.255.0
#static (outside) 192.168.0.2 192.168.1.3 netmask 255.255.255.0
--Création Access List
#port-object service webservices tcp
#port-object eq smtp
#port-object eq pop
#port-object eq https
#port-object eq smtp
#access-list external permit tcp any host 192.168.1.2 object-group webservices
#access-list external permit tcp any host 192.168.1.3 (Ici je ne sais comment indiquer que seule l'ip Y.Y.Y.Y (Qui se trouve sur le Web) pourra accéder au serveur de base de données)
#access-list external deny ip any any
--Application des Access List sur interface
#access group external in interface outside
#access group internal in interface inside
Merci beaucoup de ton aide !
Marc
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
Voici la gamme PIX dans l'ordre de leur puissance : 501, 506E, 515E, 525 et 535.
Une nouvelle gamme est sortie pour remplacer les PIX, les ASA : ASA5510, ASA5520 et ASA5540 dans un premier temps puis un petit (ASA5505) et deux gros : ASA5550 et ASA5580.
Est-ce que ça répond à ta question ?
Voici la gamme PIX dans l'ordre de leur puissance : 501, 506E, 515E, 525 et 535.
Une nouvelle gamme est sortie pour remplacer les PIX, les ASA : ASA5510, ASA5520 et ASA5540 dans un premier temps puis un petit (ASA5505) et deux gros : ASA5550 et ASA5580.
Est-ce que ça répond à ta question ?
Désolé, je n'ai pas de doc ... je fais sans en fait.
Par contre ... je te propose ce lien :
https://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/5500/5500_quick_start.html
Qui te guidera pour la config des PIX et ASA en version 7.0. (les version 7.1 ou 7.2 sont très proches)
Ciao
Par contre ... je te propose ce lien :
https://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/5500/5500_quick_start.html
Qui te guidera pour la config des PIX et ASA en version 7.0. (les version 7.1 ou 7.2 sont très proches)
Ciao
Bonjour ianvs,
Un immense Merci pour ton aide et pour m'avoir répondu si promptement ! C'est trés sympa de ta part. Je vais maintenant mettre en application tes conseils.
Je te souhaite une excellente journée et à bientôt peut-être !
Marc
Un immense Merci pour ton aide et pour m'avoir répondu si promptement ! C'est trés sympa de ta part. Je vais maintenant mettre en application tes conseils.
Je te souhaite une excellente journée et à bientôt peut-être !
Marc
Bonjour ianvs,
je te remercie des infos sur les ASA! bonne continuité!!!
tu pourrais avoir des docs sur les config de la gamme de 500 ou asa
Merci encore
je te remercie des infos sur les ASA! bonne continuité!!!
tu pourrais avoir des docs sur les config de la gamme de 500 ou asa
Merci encore
bonjour, j'ai configuré des régles NAT sur mon CISCO PIX501. Voici la configuration :
Une fois la commande effectuée, le serveur WEB est accessible depuis internet. Lorsque le routeur redémarre, mes règles NAT n'existe plus, je suis obligé de les créées à nouveau.
Comment cela fait il ? Comment les rendre permanentes ?
access-list inbound permit tcp any any eq 80 access-group inbound in interface outside static (inside,outside) tcp interface 80 192.168.1.1 80 netmask 255.255.255.255
Une fois la commande effectuée, le serveur WEB est accessible depuis internet. Lorsque le routeur redémarre, mes règles NAT n'existe plus, je suis obligé de les créées à nouveau.
Comment cela fait il ? Comment les rendre permanentes ?
Bonjour
j'ai le même problème mais avec un asa 5005:
avant d'installer le ASA j'avais le schéma suivant:
-(@PUBLIQUE)--LIVEBOX -(@192.168.2.249)---|-LAN-- serveur_ssh (@192.168.2.201)
j'avais possibilité d'accéder au serveur_ssh (avec 192.168.201 et un numéro de port que j'ai configurer 22222),car la livebox se charge de rediriger tout trafic de port 22222 vers le poste 192.168.2.201).
maintenant apvec l'intégration du ASA (voir schéma ci-dessous), j'arrive plus à accéder de l'extérieur au serveur_ssh!!!!
-(@PUBLIC)- LIVEBOX -(@10.1.1.1)-- - --(@10.1.1.2) -ASA5005-(@192.168.2.249)---|- LAN-- serveur_ssh (@192.168.2.201)
j'ai besoin de votre aide SVPPPPPPP
j'ai le même problème mais avec un asa 5005:
avant d'installer le ASA j'avais le schéma suivant:
-(@PUBLIQUE)--LIVEBOX -(@192.168.2.249)---|-LAN-- serveur_ssh (@192.168.2.201)
j'avais possibilité d'accéder au serveur_ssh (avec 192.168.201 et un numéro de port que j'ai configurer 22222),car la livebox se charge de rediriger tout trafic de port 22222 vers le poste 192.168.2.201).
maintenant apvec l'intégration du ASA (voir schéma ci-dessous), j'arrive plus à accéder de l'extérieur au serveur_ssh!!!!
-(@PUBLIC)- LIVEBOX -(@10.1.1.1)-- - --(@10.1.1.2) -ASA5005-(@192.168.2.249)---|- LAN-- serveur_ssh (@192.168.2.201)
j'ai besoin de votre aide SVPPPPPPP
Bonjour,
Pour l'ASA, il faut :
- activer un nat static (sinon pas de transmission possible d'une interface "peu" sécurisée vers une interface "plus" sécurisée.
- ajouter l'access-list qui autorise le message avec le bon protocole
Pour rendre les modifications permanantes il faut enregistrer la config ("wr mem" ou "copy run start") sinon au reboot la machine reprend la config avant modif.
Pour l'ASA, il faut :
- activer un nat static (sinon pas de transmission possible d'une interface "peu" sécurisée vers une interface "plus" sécurisée.
- ajouter l'access-list qui autorise le message avec le bon protocole
Pour rendre les modifications permanantes il faut enregistrer la config ("wr mem" ou "copy run start") sinon au reboot la machine reprend la config avant modif.
Merci d'abord pour la réponse.
j'ai deja fait ce que vous avez demandé, et j'ai fait aussi la redirection des ports pour la Livebox:
tout trafic de port 22222 le rediriger vers l'interface outside du ASA (10.1.1.2)
j'arrive a me connecté de l'interieur vers l'exterieur mais pas le contraire.
je vous envoie la config du ASA:
ASA Version 7.2(4)
!
hostname aaa
…..
interface Vlan1
nameif inside
security-level 0
ip address 192.168.2.249 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 10.1.1.2 255.255.255.0
!
interface Ethernet0/0
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
switchport access vlan 2
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
no ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
!
access-list inside_access_in extended permit icmp any any echo
access-list inside_access_in extended permit icmp any any echo-reply
access-list inside_access_in extended permit icmp any any unreachable
access-list inside_access_in extended permit icmp any any time-exceeded
access-list inside_access_in extended permit icmp any any
access-list inside_access_in extended permit tcp any any eq 11111
access-list inside_access_in extended permit ip any any
access-list outside_access_in extended permit icmp any any echo
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any unreachable
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit tcp any any eq 11111
access-list outside_access_in extended permit ip any any
pager lines 23
logging enable
logging buffered errors
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
asdm history enable
arp timeout 14400
global (outside) 1 10.1.1.15-10.1.1.253
nat (inside) 1 192.168.2.0 255.255.255.0
static (inside,outside) tcp interface 11111 192.168.2.4 11111 netmask 255.255.255.255
static (outside,inside) tcp interface 11111 192.168.2.4 11111 netmask 255.255.255.255
access-group inside_access_in in interface inside
access-group inside_access_in out interface inside
access-group outside_access_in in interface outside
access-group outside_access_in out interface outside
route outside 0.0.0.0 0.0.0.0 10.1.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.2.4 255.255.255.255 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 inside
ssh 192.168.2.4 255.255.255.255 inside
ssh 0.0.0.0 0.0.0.0 outside
ssh 192.168.2.4 255.255.255.255 outside
ssh timeout 5
console timeout 0
!
!
: end
j'ai deja fait ce que vous avez demandé, et j'ai fait aussi la redirection des ports pour la Livebox:
tout trafic de port 22222 le rediriger vers l'interface outside du ASA (10.1.1.2)
j'arrive a me connecté de l'interieur vers l'exterieur mais pas le contraire.
je vous envoie la config du ASA:
ASA Version 7.2(4)
!
hostname aaa
…..
interface Vlan1
nameif inside
security-level 0
ip address 192.168.2.249 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 10.1.1.2 255.255.255.0
!
interface Ethernet0/0
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
switchport access vlan 2
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
no ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
!
access-list inside_access_in extended permit icmp any any echo
access-list inside_access_in extended permit icmp any any echo-reply
access-list inside_access_in extended permit icmp any any unreachable
access-list inside_access_in extended permit icmp any any time-exceeded
access-list inside_access_in extended permit icmp any any
access-list inside_access_in extended permit tcp any any eq 11111
access-list inside_access_in extended permit ip any any
access-list outside_access_in extended permit icmp any any echo
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any unreachable
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit tcp any any eq 11111
access-list outside_access_in extended permit ip any any
pager lines 23
logging enable
logging buffered errors
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
asdm history enable
arp timeout 14400
global (outside) 1 10.1.1.15-10.1.1.253
nat (inside) 1 192.168.2.0 255.255.255.0
static (inside,outside) tcp interface 11111 192.168.2.4 11111 netmask 255.255.255.255
static (outside,inside) tcp interface 11111 192.168.2.4 11111 netmask 255.255.255.255
access-group inside_access_in in interface inside
access-group inside_access_in out interface inside
access-group outside_access_in in interface outside
access-group outside_access_in out interface outside
route outside 0.0.0.0 0.0.0.0 10.1.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.2.4 255.255.255.255 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 inside
ssh 192.168.2.4 255.255.255.255 inside
ssh 0.0.0.0 0.0.0.0 outside
ssh 192.168.2.4 255.255.255.255 outside
ssh timeout 5
console timeout 0
!
!
: end
Ca ressemble à du PIX (version 6 maxi) :))
Question :
Les port 11111 eu lieu de 22222 c'est une faute de frappe ?
Erreurs possibles : NAT dans les deux sens ? il faut éviter ce n'est pas cohérent
Proposition de config :
hostname aaa
…..
interface Vlan1
nameif inside
security-level 0
ip address 192.168.2.249 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 10.1.1.2 255.255.255.0
!
interface Ethernet0/0
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
switchport access vlan 2
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
no ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
!
access-list outside_access_in extended permit icmp any any echo
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any unreachable
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit tcp any any eq 11111
access-list outside_access_in extended permit ip any any
pager lines 23
logging enable
logging buffered errors
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
asdm history enable
arp timeout 14400
global (outside) 1 10.1.1.15-10.1.1.253
nat (inside) 1 192.168.2.0 255.255.255.0
static (inside,outside) tcp interface 11111 192.168.2.4 11111
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 10.1.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.2.4 255.255.255.255 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 inside
ssh 192.168.2.4 255.255.255.255 inside
ssh 0.0.0.0 0.0.0.0 outside
ssh 192.168.2.4 255.255.255.255 outside
ssh timeout 5
console timeout 0
Question :
Les port 11111 eu lieu de 22222 c'est une faute de frappe ?
Erreurs possibles : NAT dans les deux sens ? il faut éviter ce n'est pas cohérent
Proposition de config :
hostname aaa
…..
interface Vlan1
nameif inside
security-level 0
ip address 192.168.2.249 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 10.1.1.2 255.255.255.0
!
interface Ethernet0/0
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
switchport access vlan 2
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
no ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
!
access-list outside_access_in extended permit icmp any any echo
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any unreachable
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit tcp any any eq 11111
access-list outside_access_in extended permit ip any any
pager lines 23
logging enable
logging buffered errors
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
asdm history enable
arp timeout 14400
global (outside) 1 10.1.1.15-10.1.1.253
nat (inside) 1 192.168.2.0 255.255.255.0
static (inside,outside) tcp interface 11111 192.168.2.4 11111
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 10.1.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.2.4 255.255.255.255 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 inside
ssh 192.168.2.4 255.255.255.255 inside
ssh 0.0.0.0 0.0.0.0 outside
ssh 192.168.2.4 255.255.255.255 outside
ssh timeout 5
console timeout 0
bonjour
je vous remercie pour la réponse.
j'ai fait ce que vous avez demandé et ça marche tjrs pas.
je vais vous expliquer ma configuration plus en détail
en faite ma config est la suivante:
(WAN)-- livebox ---- ASA5005 ---- (LAN:192.x.x.0) -- serveur(192.x.x.201)
Avec par exemple les adresses suivantes:
-Livebox: 10.x.x.1
-ASA: 10.x.x.2 (interface outside)
192.x.x.249 (interface Inside)
-serveur interne: 192.x.x.201 port 3333 naté en 10.x.x.3
J'ai configuré la livebox pour qu'elle dérige tout le trafic vers l'interface outside du ASA (c-à-d:10.x.x.2)
Dans la config du ASA:
j'ai mis en place la config suivante (j'ai tout autorisé sur toutes les interfaces pour s'assurer que ce n'est pas problème d'ACL). voici la config:
interface Vlan1
nameif inside
security-level 0
ip address 192.x.x.249 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 10.x.x.2 255.255.255.0
global (outside) 1 10.x.x.15-10.x.x.253
nat (inside) 1 192.x.x.0 255.255.255.0 //(192.x.x.0 réseau LAN)
static (inside,outside) 10.x.x.3 192.x.x.201 netmask 255.255.255.255
access-list inside_access_in extended permit tcp any any eq 3333
access-list inside_access_in extended permit tcp any any eq 3333
access-list inside_access_in extended permit ip any any
access-group inside_access_in in interface inside
access-group inside_access_in out interface inside
access-group inside_access_in in interface outside
access-group inside_access_in out interface outside
Je suis bloqué depuis un bon moment SVP aidez moi.
merci d'avance
je vous remercie pour la réponse.
j'ai fait ce que vous avez demandé et ça marche tjrs pas.
je vais vous expliquer ma configuration plus en détail
en faite ma config est la suivante:
(WAN)-- livebox ---- ASA5005 ---- (LAN:192.x.x.0) -- serveur(192.x.x.201)
Avec par exemple les adresses suivantes:
-Livebox: 10.x.x.1
-ASA: 10.x.x.2 (interface outside)
192.x.x.249 (interface Inside)
-serveur interne: 192.x.x.201 port 3333 naté en 10.x.x.3
J'ai configuré la livebox pour qu'elle dérige tout le trafic vers l'interface outside du ASA (c-à-d:10.x.x.2)
Dans la config du ASA:
j'ai mis en place la config suivante (j'ai tout autorisé sur toutes les interfaces pour s'assurer que ce n'est pas problème d'ACL). voici la config:
interface Vlan1
nameif inside
security-level 0
ip address 192.x.x.249 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 10.x.x.2 255.255.255.0
global (outside) 1 10.x.x.15-10.x.x.253
nat (inside) 1 192.x.x.0 255.255.255.0 //(192.x.x.0 réseau LAN)
static (inside,outside) 10.x.x.3 192.x.x.201 netmask 255.255.255.255
access-list inside_access_in extended permit tcp any any eq 3333
access-list inside_access_in extended permit tcp any any eq 3333
access-list inside_access_in extended permit ip any any
access-group inside_access_in in interface inside
access-group inside_access_in out interface inside
access-group inside_access_in in interface outside
access-group inside_access_in out interface outside
Je suis bloqué depuis un bon moment SVP aidez moi.
merci d'avance
Dans les éléments qui me chaginnent :
1) les security level :
interface Vlan1
nameif inside
security-level 0 => ok c'est dehors on fait pas confiance
ip address 192.x.x.249 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0 => non, c'est dedans, on connait, on fait confiance -> mettre security-level 100
ip address 10.x.x.2 255.255.255.0
Ne laisser que l'access-group qui va bien (au passage son nom n'est pas logique, mais c'est pas grave) :
access-group inside_access_in in interface outside
Enfin, si la box redirige le traffic vers l'ASA (son adresse IP) alors le NAT n'est pas bon, voici ce qui devrait marcher :
static (inside,outside) tcp interface <PORT> 192.x.x.201 <PORT>
Si tu veux garder ton NAT Static alors il faut rediriger les flux désirés vers l'adresse 10.x.x.3 dans la BOX.
1) les security level :
interface Vlan1
nameif inside
security-level 0 => ok c'est dehors on fait pas confiance
ip address 192.x.x.249 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0 => non, c'est dedans, on connait, on fait confiance -> mettre security-level 100
ip address 10.x.x.2 255.255.255.0
Ne laisser que l'access-group qui va bien (au passage son nom n'est pas logique, mais c'est pas grave) :
access-group inside_access_in in interface outside
Enfin, si la box redirige le traffic vers l'ASA (son adresse IP) alors le NAT n'est pas bon, voici ce qui devrait marcher :
static (inside,outside) tcp interface <PORT> 192.x.x.201 <PORT>
Si tu veux garder ton NAT Static alors il faut rediriger les flux désirés vers l'adresse 10.x.x.3 dans la BOX.
J'ai changer le NAT comme ce que vous m'avez dit mais j'ai toujours le même problème.
Par contre j'ai laissé Level 0 pour vlan2 (outside) parce que quand j'ai mit 100 j'ai perdu totalement la connectivité.
comment faire SVP?
Par contre j'ai laissé Level 0 pour vlan2 (outside) parce que quand j'ai mit 100 j'ai perdu totalement la connectivité.
comment faire SVP?
Garder 2 interfaces avec le même niveau de sécurité (surtout les 2 à 0) n'est pas bon et surtout pas cohérent.
Mais soit.
Quels sont les messages de log avec cette config ? (ça nous aidera à avancer)
Mais soit.
Quels sont les messages de log avec cette config ? (ça nous aidera à avancer)
Merci beaucouuuuuuuup. c'est bon ça marche j'arrive à accéder de l'exterieur a mon serveur interne mais avec des ACLs qui autorise tous.
j'ai besoin d'interdire tout trafic externe vers le port 22222 sauf vers 192.x.x.249 (cad le serveur)
j'ai changé les ACLs, voila ce que j'ai fait
access-list outside_access_in extended permit icmp any any echo
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any unreachable
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in extended permit tcp any host 192.168.2.201 eq 22222
access-list outside_access_in extended deny tcp any any eq 22222
access-list outside_access_in extended permit ip any any
access-group outside_access_in in interface outside
qd j'enlève cette ACL (access-list outside_access_in extended deny tcp any any eq 22222) ça marche sinon ça marche pas, je perd la connectivité de l'extérieur vers mon serveur.
Pourriez vous m'aider svp?
j'ai besoin d'interdire tout trafic externe vers le port 22222 sauf vers 192.x.x.249 (cad le serveur)
j'ai changé les ACLs, voila ce que j'ai fait
access-list outside_access_in extended permit icmp any any echo
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any unreachable
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in extended permit tcp any host 192.168.2.201 eq 22222
access-list outside_access_in extended deny tcp any any eq 22222
access-list outside_access_in extended permit ip any any
access-group outside_access_in in interface outside
qd j'enlève cette ACL (access-list outside_access_in extended deny tcp any any eq 22222) ça marche sinon ça marche pas, je perd la connectivité de l'extérieur vers mon serveur.
Pourriez vous m'aider svp?
