The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco ASA 5510: возможность route-map и проксирование FTP"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (ACL, фильтрация и ограничение трафика)
Изначальное сообщение [ Отслеживать ]

"Cisco ASA 5510: возможность route-map и проксирование FTP"  +/
Сообщение от lenny on 31-Май-08, 09:11 
Добрый день, господа.

У меня есть 2 вопроса по работе ASA 5510.

1) ASA подключена к двум провайдерам, можно ли на ней определить правила, по которым определенные пакеты будут направлены в определенного провайдера? на cisco роутерах это достигается с помощью route-map, но вот на ASA он какой-то коцанный и подходит по моему только для протоколов дин. маршрутизации...

2) На ASA необходимо реализовать возможность запрещать запросы на отсылку из внутренней сети наружу файлов по FTP с определенных клиентов на определенные сервера. Я нашел как там можно с помощью сервисных политик (глобально или на интерфейс) наложить политику запрета команд STOR и STOU, но они действуют на все запросы, а не на определенных клиентов. Можно ли на ASA рубить комынды STOR и STOU только с определенных клиентов на определенные сервера?

заранее благодарю.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco ASA 5510: возможность route-map и проксирование FTP"  +/
Сообщение от dxer on 04-Июн-08, 21:04 
>[оверквотинг удален]
>
>2) На ASA необходимо реализовать возможность запрещать запросы на отсылку из внутренней
>сети наружу файлов по FTP с определенных клиентов на определенные сервера.
>Я нашел как там можно с помощью сервисных политик (глобально или
>на интерфейс) наложить политику запрета команд STOR и STOU, но они
>действуют на все запросы, а не на определенных клиентов. Можно ли
>на ASA рубить комынды STOR и STOU только с определенных клиентов
>на определенные сервера?
>
>заранее благодарю.

1) К сожалению нет. Ставить по технологиям циски перед АСОй ставить маршрутизатор для этих и многих других целей.

2) Можно с помощью policy-map с сlass-map + ACL кому и чего инспектировать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco ASA 5510: возможность route-map и проксирование FTP"  +/
Сообщение от lenny on 05-Июн-08, 14:30 
спасибо за ответ!

по первому вопросу я именно так и понял уже.

>2) Можно с помощью policy-map с сlass-map + ACL кому и чего
>инспектировать.

вот именно это то и не получается. потому что я пробовал делать через ASDM, там создавал Inspect Map для FTP, где указал что создаётся класс для request-command PUT и STOU и по match надо делать reset. Всё замечательно работает, но для всех. Через ASDM вставить в класс или Inspect Map для FTP access-list по ip адресам не получается. Пробовал руками - там тоже консоль просто не даёт в класс, который type inspect ftp забивать access-listы...

:(

пробовал гуглить - ни одного примера не нашёл :(

буду очень благодарен за кратенький рабочий примерчик.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco ASA 5510: возможность route-map и проксирование FTP"  +/
Сообщение от dxer on 05-Июн-08, 14:54 
>[оверквотинг удален]
>делать reset. Всё замечательно работает, но для всех. Через ASDM вставить
>в класс или Inspect Map для FTP access-list по ip адресам
>не получается. Пробовал руками - там тоже консоль просто не даёт
>в класс, который type inspect ftp забивать access-listы...
>
>:(
>
>пробовал гуглить - ни одного примера не нашёл :(
>
>буду очень благодарен за кратенький рабочий примерчик.

Ну вот приблизительно только для SMTP инспекции (моя задача была НЕ испектировать SMTP трафик в корпоративной распределенной сети... (лучше делайте через CLI)

access-list traffic_for_INSPECT remark Traffic to-be-Inspected by ASA
access-list traffic_for_INSPECT extended deny tcp 172.29.0.0 255.255.0.0 172.29.0.0 255.255.0.0 eq smtp
access-list traffic_for_INSPECT extended deny tcp host 172.29.1.5 host 172.28.1.2 eq smtp
access-list traffic_for_INSPECT extended deny tcp host 172.29.1.6 host 172.28.1.2 eq smtp
access-list traffic_for_INSPECT extended deny tcp host 172.29.1.14 host 172.28.1.2 eq smtp
access-list traffic_for_INSPECT extended deny tcp host 10.0.0.2 host 172.29.1.5 eq smtp
access-list traffic_for_INSPECT extended deny tcp host 10.0.0.2 host 172.29.1.6 eq smtp
access-list traffic_for_INSPECT extended deny tcp host 10.0.0.2 host 172.29.1.14 eq smtp
access-list traffic_for_INSPECT extended permit ip any any


class-map inspection_default
match access-list traffic_for_INSPECT
match default-inspection-traffic

!
policy-map type inspect dns DNS-SRT
description SRT DNS policy-map
parameters
  message-length maximum 1024
policy-map type inspect esmtp SMTP-SRT
description SRT ESMTP policy-map
parameters
  special-character action drop-connection log
match cmd line length gt 512
  drop-connection log
match sender-address length gt 320
  drop-connection log
match ehlo-reply-parameter others
  mask
match MIME filename length gt 255
  drop-connection log
match invalid-recipients count gt 1
  drop-connection log
match cmd RCPT count gt 100
  drop-connection log
policy-map global_policy
class inspection_default
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
  inspect pptp
  inspect snmp
  inspect http
  inspect dns DNS-SRT
  inspect esmtp SMTP-SRT

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Cisco ASA 5510: возможность route-map и проксирование FTP"  +/
Сообщение от lenny on 06-Июн-08, 11:13 
почитал ваш пример, но что то не очень понял. поправьте если я не прав.
У вас получается есть люди которые вообще не ходят на почту (которым deny в access-list) и те которые permit, но для них наклыдваются ограничения policy map SMTP-SRT. Так?

а как же быть с теми для тех, кому надо разрешить всё без ограничений?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Cisco ASA 5510: возможность route-map и проксирование FTP"  +/
Сообщение от dxer on 06-Июн-08, 12:31 
>почитал ваш пример, но что то не очень понял. поправьте если я
>не прав.
>У вас получается есть люди которые вообще не ходят на почту (которым
>deny в access-list) и те которые permit, но для них наклыдваются
>ограничения policy map SMTP-SRT. Так?
>
>а как же быть с теми для тех, кому надо разрешить всё
>без ограничений?

Да этот АЦЛ не имеет ничего общего с "ходят и не ходят" этот АЦЛ для инспектирования ТОЛЬКО, он показывает, что я не испектирую почтовую сессию для хостов кому ДЕНАЙ. Остальные попадают под инспект.

Вот те, кому всё надО без ограничений, попадают в DENY правило у тебя для ftp inspectирования.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Cisco ASA 5510: возможность route-map и проксирование FTP"  +/
Сообщение от lenny on 06-Июн-08, 14:18 
спасибо, за совет, вот что у меня вышло:

Я сделал так,

access-list ftp_ro extended deny tcp host 192.168.1.1 any eq ftp
access-list ftp_ro extended permit ip any any

class-map inspection_default
match access-list ftp_ro
match default-inspection-traffic
!
policy-map type inspect ftp FTP_RO
parameters
match request-command put
  reset

policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ftp

В такой конфигурации если пробовать с компа 192.168.1.1 (для которого отдельным правилом разрешен доступ по FTP через АСУ) то логин на FTP сервер проходит успешно, а вот любая команда (dir, ls, get, put) вызывает разрыв соединения. Если пробовать с компа 192.168.1.2 для которого тоже разрешен протокол FTP) то всё работает нормально, все команды FTP разрешены.

я пробовал делать и вот так:

policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ftp strict FTP_RO

в этом случае если я захожу на FTP сервер с 192.168.1.2 у меня не работает PUT, а вот если я захожу с компа 192.168.1.1 то после успешного логина на FTP сервер любая команда вызывает reset.

где я не прав?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Cisco ASA 5510: возможность route-map и проксирование FTP"  +/
Сообщение от dxer on 06-Июн-08, 14:22 
>[оверквотинг удален]
>  inspect netbios
>  inspect tftp
>  inspect ftp strict FTP_RO
>
>в этом случае если я захожу на FTP сервер с 192.168.1.2 у
>меня не работает PUT, а вот если я захожу с компа
>192.168.1.1 то после успешного логина на FTP сервер любая команда вызывает
>reset.
>
>где я не прав?

Всё правильно у тебя.
Через ASDM посмотри чего в логах внимательно понаблюдай.
Где-то косячок, который я не вижу.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Cisco ASA 5510: возможность route-map и проксирование FTP"  +/
Сообщение от Леонид email(??) on 20-Авг-08, 16:26 
прошу прощения что не по теме, но стоит именно эта модель циски.

есть вопрос: необходимо сделать проброс портов через НАТ, но исходя из прочитанных материалов через АСДМ сделать этого нельзя вроде как. поэтому хотелось бы спросить помощи у знающих, так как с консолью релаьно на ВЫ :(
если сделать вот так: ip nat inside source static UDP 10.0.6.113 51017 interface BVI1 51017
т оесть пробросить порт 51017 дл внутреннего айпишника 10.0.6.113 на интерфейсе BVI1, но тут вопрос интерфейс BVI1 и этот пример с другого сайта для другой модели циско. и у меня на ней есть 4 интерфейса
Ethernet0/0 "outside"
Ethernet0/1 "DMZ"
Ethernet0/2 "inside"
последний менеджерский он для этого не нужен

так вот, сделать нужно так с учетом выше сказанного?
ip nat inside source static UDP 10.0.6.113 51017 interface Ethernet0/0 51017
или
ip nat inside source static UDP 10.0.6.113 51017 interface outside 51017

буду сильно благодарен за ответ.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Cisco ASA 5510: возможность route-map и проксирование FTP"  +/
Сообщение от minuser on 12-Фев-16, 12:00 
>[оверквотинг удален]
>>сети наружу файлов по FTP с определенных клиентов на определенные сервера.
>>Я нашел как там можно с помощью сервисных политик (глобально или
>>на интерфейс) наложить политику запрета команд STOR и STOU, но они
>>действуют на все запросы, а не на определенных клиентов. Можно ли
>>на ASA рубить комынды STOR и STOU только с определенных клиентов
>>на определенные сервера?
>>
>>заранее благодарю.
> 1) К сожалению нет. Ставить по технологиям циски перед АСОй ставить маршрутизатор
> для этих и многих других целей.

Уже к счастью - да.
Начиная с прошивки 9.4 реализован PBR


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру