Конференция CiscoLab: Подготовка к CCIE Security LAB - Конференция CiscoLab

Перейти к содержимому

  • 2 Страниц +
  • 1
  • 2
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Подготовка к CCIE Security LAB

#21 Пользователь офлайн   fantas1st0 Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 11
Хороший

Отправлено 12 Август 2011 - 22:06

По IPS? Ну либо ждать пока выйдет офф. гайд, либо закупить Quick :) скинем втроем по 100рублей :)
CCNA, CCNA Security
CCNP, CCIP, CCNP Security.
CCSI #341**
0

#22 Пользователь офлайн   fantas1st0 Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 11
Хороший

Отправлено 18 Август 2011 - 21:16

Для разминки мозгов:
имеем топологию: R1 - (inside) ASA (outside) - R2. Сети: R1 (192.168.17.1) - ASA (192.168.17.7); ASA (192.168.27.7) - R2 (192.168.27.2).
ASA имеет такой конфиг:
nat-control
nat (inside) 0 192.168.17.0 255.255.255.0
access-list OUT_IN extended permit ip any any
access-group OUT_IN in interface outside
access-list OUT_OUT extended permit ip any any
access-group OUT_OUT OUT interface outside

Теперь заходим на R2 и делаем: ping 192.168.17.1 .... "success rate is 0". Что необходимо сделать, чтобы ping пошел?

Вопрос №2. У этой же АСЫ есть dmz-интерфейс. Добавляем команды в конфиг:
access-list ROUTER3 extended permit ip host 192.168.37.3 any
nat (dmz) 0 access-list ROUTER_3

Теперь заходим на R2 и делаем: ping 192.168.37.3 .... "success rate is 100". Почему трафик проходит?

Жду ваших предложений :)
CCNA, CCNA Security
CCNP, CCIP, CCNP Security.
CCSI #341**
0

#23 Пользователь офлайн   Aleks305 Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 1
Обычный

Отправлено 18 Август 2011 - 22:53

nat (inside) 0 192.168.17.0 255.255.255.0 - говорит,что эти адреса не надо транслировать. Так как nat-control включен, то весь трафик может только натиться, а не маршрутизироваться
убрать nat-control, мне кажется должно заработать, при условии,что роутер знает, что за asa эта сеть
CCNP, CCNP Sec
0

#24 Пользователь офлайн   fantas1st0 Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 11
Хороший

Отправлено 18 Август 2011 - 22:58

Aleks305
тут Вы не правы. Здесь мы говорим, что адреса сети 192.168.17.0 транслировать сами в себя в любом направлении движения трафика. Поэтому nat-control оставте :) Решение гораздо более изящное :)
Не транслируем мы адреса командами
access-list ROUTER3 extended permit ip host 192.168.37.3 any
nat (dmz) 0 access-list ROUTER_3

но в этом случае трафик удачно ходит при включенном nat-control
CCNA, CCNA Security
CCNP, CCIP, CCNP Security.
CCSI #341**
0

#25 Пользователь офлайн   HunSolo Иконка

  • Администратор
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 4
Обычный

Отправлено 02 Декабрь 2011 - 18:32

Читаем доку где черно по белому

Цитата

For identity NAT, even though the mapped address is the same as the real address, you cannot initiate a connection from the outside to the inside (even if the interface access list allows it). Use static identity NAT or NAT exemption for this functionality.


Поэтому сносим
no nat (inside) 0 192.168.17.0 255.255.255.0
static (inside,outside) 192.168.17.0 192.168.17.0 netmask 255.255.255.0


и радуемся
0

#26 Пользователь офлайн   fantas1st0 Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 11
Хороший

Отправлено 02 Декабрь 2011 - 19:30

Вот археолог :):)
Можно запустить пинг с внутреннего интерфейса, появится трансляция и доступ из вне будет открыт.
CCNA, CCNA Security
CCNP, CCIP, CCNP Security.
CCSI #341**
0

#27 Пользователь офлайн   HunSolo Иконка

  • Администратор
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 4
Обычный

Отправлено 03 Декабрь 2011 - 00:24

Вопрос а как можно запустить пинг с R1, если хе-хе, вы находитесь на R2 и у вас только консоль к ASA. :P

Ладно пусть не консоль, а SSH на outside.
Считаем что R1 пускает только
1) по SSH
или только с
2) адресов R2

Т.е зайти с ASA на R1 невозможно (на ASA нет ssh клиента, кстати вполне типичная ситуация)


---------------
А теперь более сложная задачка.
1) Конфиг исходный.
2) Нелья использовать static nat и nat exception
3) Нельзя убирать nat-control

Требуется обеспечить доступ R2 к R1, да так, чтобы R2 появлялся в сети R1 под своими адресом

Вариант пропинговать с R1 не принимается так как с ASA туда доступа нет. И вообще на R1 можно заползти только с R2, для этого злобный админ повесил на R1 нужный ACL.
0

Поделиться темой:


  • 2 Страниц +
  • 1
  • 2
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей