Образовательный проект «SnakeProject» Михаила Козлова

⇒ CISCO ⇐

Voice(Asterisk\Cisco)

Microsoft

Powershell

Python

SQL\T-SQL

FreeBSD and Nix

1С

Общая

WEB Разработка

ORACLE SQL \ JAVA

Мото

Стрельба, пневматика, оружие

Саморазвитие и психология

CISCO ASA как роутер для офиса с пробросом портов

Наша задача сегодня состоит в настройке Cisco ASA, мне досталась 5540.

Есть офис, его сеть условно будет 192.168.10.0/24, провайдер выдал статический адрес 1.1.1.2 а гейтвэй будет1.1.1.1.

До кучи нам нужно сделать проброс портов на одну из внутренних машин (Мы зделаем три проброса).

По сути ASA является аппаратным межсетевым экраном, умеет хранить информацию о сессиях.

Работать может в режимах routed (это режим маршрутизатора) и transparent (прозрачный режим).

Мы соответственно будем работать в режиме routed.

Далее я приведу куски из кофига с комментариями.

Имя, версия и домен:
ASA/test.ru# sh run
: Saved
: Hardware:   ASA5540, 1024 MB RAM, CPU Pentium 4 2000 MHz
:
ASA Version 9.1(7)6
!
hostname ASA
domain-name test.ru

Интерфейсы:
interface GigabitEthernet0/0
 nameif WAN01
 security-level 0
 ip address 1.1.1.2 255.255.255.252
!
interface GigabitEthernet0/1
 nameif VLAN-USER
 security-level 50
 ip address 192.168.10.1 255.255.255.0
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 management-only
 shutdown
 no nameif
 no security-level
 no ip address
!

DNS настроечки:
dns domain-lookup WAN01
dns server-group DNS-GRP-01
 name-server 8.8.8.8
dns server-group DefaultDNS
 domain-name test.ru
dns-group DNS-GRP-01

Объекты сети офиса, машины для проброса и внешний ip ASA:
object network OBJ-SUBNET-VLAN-USER
 subnet 192.168.10.0 255.255.255.0

object network OBJ-HOST-SRV01
 host 192.168.10.20

Объекты для проброса портов:
object service OBJ-SERVICE-RDP
 service tcp destination eq 3389

object service OBJ-SERVICE-MAP01
 service tcp destination eq 65320

object service OBJ-SERVICE-MAP02
 service tcp destination eq 65420

object service OBJ-SERVICE-MAP03
 service tcp destination eq 65020

Создаем группы для протокола ICMP, объекта OBJ-SUBNET-VLAN-USER(сеть офиса) и и объектов проброса портов:
object-group service GRP-SERVICE-ICMP-WAN01
 service-object icmp echo-reply
 service-object icmp unreachable

object-group service GRP-SERVICE-SRV01
 service-object object OBJ-SERVICE-RDP
 service-object object OBJ-SERVICE-MAP01
 service-object object OBJ-SERVICE-MAP02

Создаем списки доступа (разрешим прохождение пакетов) для группы проброса портов, группы ICMP и офиса:

access-list ACL-WAN01-IN extended permit object-group GRP-SERVICE-SRV01 any object OBJ-HOST-SRV01 log
access-list ACL-WAN01-IN extended permit object-group GRP-SERVICE-ICMP-WAN01 any object OBJ-SUBNET-VLAN-USER
access-list ACL-VALN-USER-IN extended permit ip object OBJ-SUBNET-VLAN-USER any

Навесим списки доступа на интерфейсы:
access-group ACL-WAN01-IN in interface WAN01
access-group ACL-VALN-USER-IN in interface VLAN-USER

Настроим проброс портов статическим NAT:

nat (WAN01,VLAN-USER) source static any any destination static interface OBJ-HOST-SRV01 service OBJ-SERVICE-MAP01 OBJ-SERVICE-MAP01
nat (WAN01,VLAN-USER) source static any any destination static interface OBJ-HOST-SRV01 service OBJ-SERVICE-MAP02 OBJ-SERVICE-MAP02
nat (WAN01,VLAN-USER) source static any any destination static interface OBJ-HOST-SRV01 service OBJ-SERVICE-MAP03 OBJ-SERVICE-RDP

Динамический NAT для офиса:

nat (any,WAN01) after-auto source dynamic OBJ-SUBNET-VLAN-USER interface

Гейтвэй провайдера:

route WAN01 0.0.0.0 0.0.0.0 1.1.1.1 1

Настройка для http сервиса:
http server enable
http 192.168.10.0 255.255.255.0 VLAN-USER
http redirect VLAN-USER 80

Политики инспектирования траффика:

Класс. Какой тип траффика нам интересен? Весь!

class-map inspection_default
 match default-inspection-traffic

Политики(действие над классом):
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512

Обратите внимание на связь с политикой preset_dns_map и классом inspection_default:
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect ip-options

В каком направлении будет действовать(исходящий | входящий | весь):
service-policy global_policy global

По сути действиями выше в кратце мы разрешили хождение через ASA определнных протоколов.

На этом все, советую так-же не забыть создать пользователей и организовать доступ ssh.

Комментарии пользователей