我没有成功设置从内部网络到外部的出口过滤,目的是拒绝所有出站流量,除了运行 DNS、NTP 等的 HTTP 代理(Squid)服务器。
如果我删除所有 ACL 规则,它就可以正常工作:NAT 正常(双重 NAT 正常),我可以浏览网页等。
然而,我想法是正确的(而且我已经浏览过一堆令人困惑的文档,其中一些是错误的版本,因此我在思科领域遇到了麻烦),但似乎不起作用,尽管不一致。
进行 telnet 测试,第一次应用时它access-group工作正常。按 CTRL-] 退出,按向上键,再次运行命令,超时。删除所有访问组分配,不起作用。回来验证(当我输入此内容时),telnet 再次工作。
打开调试日志记录后,显示日志确认数据包已被丢弃,但看起来不正确,我想我可能将规则应用到了错误的接口或错误的方向上。
以下是一些相关信息:
服务器:192.168.2.5/24 内部:192.168.2.0/24 外部:10.0.0.254/24(<-- 测试环境,在我的真实 LAN 上有 IP)。
这是我的配置的相关片段:
access-list server_out extended permit tcp host 192.168.2.5 any eq www
global (outside) 10 interface
nat (inside) 10 192.168.2.0 255.255.255.0
access-group server_out in interface inside
同样,几分钟前我没有 access-group 行,但它工作正常。我也在几台机器上尝试了这种方法,192.168.2.0/24 上的另一台机器工作过一两次(甚至几分钟前),尽管那里没有许可规则如您所见,我假设一旦创建 ACL,就会应用默认拒绝规则。
编辑
这里有一些日志供您查看——这是一次成功的 telnet 到我的真实 LAN (10.0.0.12) 上的 Web 服务器:
%ASA-6-305011: Built dynamic TCP translation from inside:192.168.2.5/36097 to outside:10.0.0.254/57787
%ASA-6-302013: Built outbound TCP connection 172 for outside:10.0.0.12/80 (10.0.0.12/80) to inside:192.168.2.5/36097 (10.0.0.254/57787)
这是相同的请求,几秒钟后,配置没有变化:
%ASA-2-106001: Inbound TCP connection denied from 192.168.2.5/36100 to 10.0.0.12/80 flags FIN ACK on interface outside
%ASA-2-106001: Inbound TCP connection denied from 192.168.2.5/36101 to 10.0.0.12/80 flags SYN on interface outside
编辑2
: Saved
:
ASA Version 8.0(5)
!
terminal width 120
hostname some-host
enable password ***** encrypted
passwd ***** encrypted
names
!
interface Vlan1
nameif dmz
security-level 50
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Vlan3
nameif outside
security-level 0
ip address 10.0.0.254 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 3
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 2
!
interface Ethernet0/3
switchport access vlan 2
shutdown
!
interface Ethernet0/4
switchport access vlan 2
shutdown
!
interface Ethernet0/5
switchport access vlan 2
shutdown
!
interface Ethernet0/6
switchport access vlan 2
shutdown
!
interface Ethernet0/7
switchport access vlan 2
shutdown
!
boot system disk0:/asa805-k8.bin
ftp mode passive
access-list inside_out extended permit tcp host 192.168.2.5 any eq www
pager lines 24
logging enable
logging buffered debugging
mtu dmz 1500
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 10 interface
nat (inside) 10 192.168.2.0 255.255.255.0
access-group inside_out in interface inside
route outside 0.0.0.0 0.0.0.0 10.0.0.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:1234567890
: end
答案1
我的交换机和/或电缆肯定有问题:将机器直接插入 e0/2,一次又一次地正常工作。将其重新插入,时断时续。然而,奇怪的是日志会显示它所显示的内容。
编辑
是的,环城,我很惊讶我甚至能把任何数据包都发出去。给孩子们的忠告:拔掉你的电缆后您关闭端口镜像。