我对 CISCO、ACL 和 NAT 还不熟悉,但我愿意学习。
我在允许通过我的 ASA5505 ASA 9.2 (2) ASDM 7.3(3) 进行 FTP 访问时遇到问题
这是我的问题,我有一个域,该域有我的 ASA 外部 IP,因此我想在我的 ftp 程序中输入该域(使用用户名和密码),并能够访问位于我的 ASA 后面的 NAS。ASA 上已启用被动模式,我也尝试了主动模式。我可以看到 ASA 拒绝连接。
我之前有一台华硕 N56U 路由器/防火墙/dmz,没有遇到任何问题。所以我知道这是 ASA。
我不知道这是否重要,但我的网络配置如下:
互联网(康卡斯特电缆调制解调器)=> ASA5505 => 交换机(192.168.1.9),然后从此交换机转到 NAS 所在的第二个交换机(全部在同一个网络中)。
这跟它没什么关系吧?我应该使用 DMZ 吗?只用于 NAS?还是无所谓?
我甚至做了“修复协议 ftp 21”(老实说,我不知道为什么或者它做什么)我发现一些帖子说它解决了这个问题所以我这样做了。但它没有解决任何问题,FTP 会话无论如何都会超时。
从我的 LAN 内部通过 FTP 连接到 NAS 运行正常。(我在 Filezilla 上输入 192.168.1.10 + 用户名和密码,没有问题),但问题来自 myhomeftp.net 的外部。我还没有找到一种有效的方法(如标准程序)来允许 asa5505 后面的 FTP 连接(这让我很困惑),有很多方法可以做到这一点??
我成功将 UDP 流量转发到另一台特定主机,以便能够在 Tunngle 上播放。我以为 FTP 会是那样,天哪,我错了……我以为只是声明 NAT 和 ACL 而已。
如果您注意到 FTP 的 Nats 规则看起来像“nat(any,outside)”,如果我将“any”更改为“inside”,ASDM 会给我一个错误,说它无法保留端口并删除 FTP 和 FTP 数据的 NAT 规则。
我还没有成功使用 FTP 协议,提前感谢大家。
ASA Version 9.2(2)
!
hostname asa5505
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
boot system disk0:/asa922-k8.bin
ftp mode passive
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network obj-192.168.1.15
host 192.168.1.15
object network obj-192.168.1.0
subnet 192.168.1.0 255.255.255.0
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network FTP
host 192.168.1.10
object network FTP_DATA
host 192.168.1.10
object-group service DM_INLINE_TCP_2 tcp
access-list outside_access_in remark Tunngle gaming
access-list outside_access_in extended permit udp any4 object obj-192.168.1.15
eq 11155
access-list outside_access_in extended permit tcp any4 object FTP eq ftp
access-list outside_access_in extended permit tcp any4 object FTP eq ftp-data
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-733.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network obj-192.168.1.15
nat (inside,outside) static interface service udp 11155 11155
object network obj-192.168.1.0
nat (inside,outside) dynamic interface
object network obj_any
nat (inside,outside) dynamic interface
object network FTP
nat (any,outside) static interface service tcp ftp ftp
object network FTP_DATA
nat (any,outside) static interface service tcp ftp-data ftp-data
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
ssh stricthostkeycheck
ssh 192.168.1.0 255.255.255.0 inside
ssh timeout 10
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.1.5-192.168.1.132 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
anyconnect-essentials
username Don password xFknmwCuNrTVsX3C encrypted
username Don attributes
service-type admin
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http
https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email [email protected]
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:c35ba40b6d6d3f411b03dfff22408298
: end