• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Access-list trong ASA 5540

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Access-list trong ASA 5540

    Chào các anh !
    Em có một con ASA 5540 cấu hình access-list như sau :
    object-group network DMZ_NETWORK
    network-object 202.151.161.64 255.255.255.240
    network-object 210.86.224.192 255.255.255.248
    object-group network DMZ_NETWORK_REAL
    network-object 192.168.1.120 255.255.255.248
    network-object 192.168.1.128 255.255.255.240
    object-group network INSIDE_NETWORK
    network-object 172.16.0.0 255.255.0.0
    object-group service DMZ_SERVICES1 udp
    description UDP
    port-object eq syslog
    object-group network DMZ_Dynamic
    network-object 192.168.1.192 255.255.255.240
    object-group network IP_AD
    network-object host 172.16.4.3
    network-object host 172.16.4.4
    network-object host 172.16.4.5
    access-list INSIDE extended permit icmp any any
    access-list INSIDE extended permit ip any any
    access-list DMZ extended permit udp 192.168.1.0 255.255.255.0 any eq domain
    access-list DMZ extended permit icmp any any
    access-list DMZ extended permit tcp 192.168.1.0 255.255.255.0 any object-group DMZ_S
    access-list DMZ remark website ciren ban tin ra ngoai
    access-list DMZ extended deny ip any host ipcam
    access-list DMZ extended permit udp 192.168.1.0 255.255.255.0 any object-group DMZ_S
    access-list DMZ extended permit ip 192.168.1.0 255.255.255.0 object-group IP_AD
    access-list DMZ extended permit icmp 192.168.1.0 255.255.255.0 object-group IP_AD

    Câu hỏi của em là : cần cấu hình như thế nào để vùng DMZ có thể vào được mạng LAN
    Cụ thể : em muốn các máy trong miền DMZ có thể truy cập được vào các máy sau :
    172.16.4.3 -> 172.16.4.5

    Mong các Pro giúp đỡ !

  • #2
    Cấu hình file config của ASA bạn up thiếu rồi. bạn cần bổ sung thêm thông tin là từ vùng inside dùng NAT 0 or NAT khác 0 để NAT vào vùng DMZ.
    - Nếu NAT 0 thì bạn chỉ cần đặt ACL là okie
    access-list DMZ extended permit ip 192.168.1.0 255.255.255.0 any object-group IP_AD
    - Nếu dùng NAT khác 0 thì bạn cần làm 2 thao tác:
    b1: static tĩnh
    b2: đặt ACL

    Nhưng mình thấy qua cấu hình file config trên ASA của bạn >> có những dòng lệnh ko cần thiết, và bạn có thể xoá..

    Mình nhìn qua cấu hình ASA này, mình đoán bạn cần join các máy chủ vào domain microsoft :), đúng ko nhỉ ?
    Nhiệt tình + Không biết >> Phá hoại

    Comment


    • #3
      Cảm ơn bạn đã trả lời . Đây là cấu hình nat của mình :
      nat-control
      global (OUTSIDE) 1 interface
      global (DMZ) 1 interface
      nat (INSIDE) 1 0.0.0.0 0.0.0.0
      nat (DMZ) 1 192.168.1.192 255.255.255.240

      Đúng là mình muốn Join vào các máy chủ của domain mirosoft ! Nhưng mình muốn các máy từ 172.16.4.3 -> 172.16.4.5 có thể truy cập vào các máy trong dải 192.168.1.0/24. Vậy thì nat static có được không ? Mong bạn trả lời ! Thanks to you ^^
      Last edited by NgocNgao; 20-05-2011, 08:55 AM.

      Comment


      • #4
        Chào bạn,
        Bạn thử dùng NAT 0 xem sao?
        Chúc vui vẻ
        Trần Mỹ Phúc
        tranmyphuc@hotmail.com
        Hãy add nick để có thông tin đề thi mới nhất :tranmyphuc (Hỗ trợ tối đa cho các bạn tự học)

        Cisco Certs : CCNP (Passed TSHOOT 1000/1000)

        Juniper Certs :
        JNCIP-ENT & JNCIP-SEC
        INSTRUCTORS (No Fee) : CISCO (Professional) , JUNIPER (Professional) , Microsoft ...

        [version 4.0] Ôn tập CCNA


        Comment

        Working...
        X