• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

thực hiện ping từ inside vào dmz ? và inside ra outside ?

Collapse
X
Collapse
 
  • Page of 2
  • Filter
  • Time
  • Show
Clear All
new posts
Previous 1 2 template Next
  • #1

    thực hiện ping từ inside vào dmz ? và inside ra outside ?

    Mình có mạng inside:192.168.1.0
    dmz:10.1.1.2
    ASA có outside(172.16.2.1) nối với router R2 (172.16.2.2)
    ASA có inside(172.16.1.1) nối với router R1 (172.16.1.2)
    thực hiện ping từ outside vào dmz đã thành công !!!
    _cấu hình :static (dmz,outside) 100.100.100.1 10.1.1.2 netmask 255.255.255.255
    * từ inside vào dmz:
    mình xem các bài đăng trước đó nên đã có các phương án như sau:
    access-list no-nat extended permit icmp 192.168.1.0 255.255.255.0 host 10.1.1.2 echo
    access-list no-nat extended permit icmp 192.168.1.0 255.255.255.0 host 10.1.1.2 echo-reply
    nat(inside) 0 access-list no-nat
    =>error:access-list has protocol or pat. minh hiểu rằng khi đi từ inside vào dmz thì không cần nat nên thực hiện nat 0.còn access-list thì phải áp dụng cho cổng nào ???
    _khi đi từ mức an ninh cao đến thấp thì chỉ cần nat cho cùng với địa chỉ của mạng có mức an ninh thấp hơn:
    *từ inside ra internet:
    access-list Internet extended permit ip 192.168.1.0 255.255.255.0 any
    nat (inside) 1 access-list Internet
    global (outside) 1 172.16.2.3 netmask 255.255.255.255
    => mình thử ping vẫn chưa được. nên thắc mắc hay là phải đổi lại là:
    access-list Internet extended permit icmp 192.168.1.0 255.255.255.0 any     echo
    access-list Internet extended permit icmp 192.168.1.0 255.255.255.0 any echo-reply
    và cả hai trường hợp thì phải áp dụng cho cổng nào ? mình không thấy ai nhắc đến việc này ?
    _và theo như bài post     cau hinh pix 515 từ inside vào dmz thì mình phải nat vùng dmz ra outside có ip global trùng với địa chỉ mạng inside và cấu hình như thế này không ?

    static (dmz,outside) 192.168.1.252 10.1.1.2 netmask 255.255.255.255
    static (inside,dmz) 192.168.1.0 192.168.1.0 netmask 255.255.255.0

    Mong các bạn cho mình ý kiến ? mình mới học nên không biết thế nào mới là đúng cả.hi! và phải làm thế nào để ping được từ inside vào dmz và ra internet ?


    Click image for larger version Name: 333.jpg Views: 1 Size: 20.1 KB ID: 207805
    Last edited by nguyenvanquyetdt6; 13-04-2012, 12:21 AM.
    Tags: None
  • #2
    ai giup toi voi. t dang lam do an ve cai nay.ngoai forum nay toi chang biet nho ai nua.

    Comment

    • #3
      làm từng bước cho bạn:
      - cấu hình các địa chỉ , trên R3 trỏ default route về asa, trên dmz trỏ default route về asa, trên asa trỏ default route đến outside và route giải mạng 192.168.1.0/24 qua interface inside, trên outside R1 route giải mạng 100.100.100.0/24 qua 172.16.2.1.
      - test thử ping từ asa đến các vùng xem ok ko. ping từ các vùng đến asa xem ok ko.
      - để inside (192.168.1.0/24) ra được ngoài outside và ping được từ inside ra ngoài outside
      Code:
      asa:
nat (inside) 1 192.168.1.0 255.255.255.0
global (outside) 1 interface

access-list INSIDE-PING extended permit icmp any host 172.16.2.1 echo 
access-list INSIDE-PING extended permit icmp any host 172.16.2.1 echo-reply
access-group INSIDE-PING in interface outside

route outside 0.0.0.0 0.0.0.0 172.16.2.2 
route inside 192.168.1.0 255.255.255.0 172.16.1.1

ping thử từ R3 ra ngoài outside:

R3# ping 172.16.2.2 source 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.2.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/35/52 ms

R3# ping 10.10.10.1 source 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/39/52 ms
      - để từ inside ping được vào dmz và thực hiên identity NAT (NAT 0) đối với các packet từ inside vào dmz, hoặc bạn có thể dùng static NAT "static (inside,dmz) 192.168.1.0 192.168.1.0 netmask 255.255.255.0" cũng ok
      Code:
      asa:
access-list NONAT-INSIDE-DMZ extended permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0 
access-list DMZ-PING extended permit icmp 10.1.1.0 255.255.255.0 any echo 
access-list DMZ-PING extended permit icmp 10.1.1.0 255.255.255.0 any echo-reply 
nat (inside) 0 access-list NONAT-INSIDE-DMZ
access-group DMZ-PING in interface dmz

ping thử từ R3 vào DMZ:
R3#ping 10.1.1.2 source 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/46/80 ms
      - để outside nhìn server trong DMZ dưới địa chỉ 100.100.100.1 và ping được từ outside đến 100.100.100.1
      Code:
      asa: thêm 2 dòng vào access-list INSIDE-PING được apply vào interface outside

access-list INSIDE-PING extended permit icmp any host 100.100.100.1 echo 
access-list INSIDE-PING extended permit icmp any host 100.100.100.1 echo-reply

static (dmz,outside) 100.100.100.1 10.1.1.2 netmask 255.255.255.255

ping thử từ outside R1 tới 100.100.100.1 :
R1#ping 100.100.100.1Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.100.100.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/40/96 ms


R1#ping 100.100.100.1 source 10.10.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.100.100.1, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.1 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/32/56 ms

ping từ DMZ R2 ra ngoài outside:
R2#ping 172.16.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/32/88 ms


R2#ping 10.10.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/36/68 ms

      cấu hình đầy đủ trên asa:
      Code:
      interface Ethernet0
 nameif inside
 security-level 100
 ip address 172.16.1.1 255.255.255.0 
!
interface Ethernet1
 nameif dmz
 security-level 50
 ip address 10.1.1.1 255.255.255.0 
!
interface Ethernet2
 nameif outside
 security-level 0
 ip address 172.16.2.1 255.255.255.0 
!
interface Ethernet3
 shutdown
 no nameif    
 no security-level
 no ip address
!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list INSIDE-PING extended permit icmp any host 172.16.2.1 echo 
access-list INSIDE-PING extended permit icmp any host 172.16.2.1 echo-reply 
access-list INSIDE-PING extended permit icmp any host 100.100.100.1 echo 
access-list INSIDE-PING extended permit icmp any host 100.100.100.1 echo-reply 
access-list NONAT-INSIDE-DMZ extended permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0 
access-list DMZ-PING extended permit icmp 10.1.1.0 255.255.255.0 any echo 
access-list DMZ-PING extended permit icmp 10.1.1.0 255.255.255.0 any echo-reply 
pager lines 24
mtu inside 1500
mtu dmz 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list NONAT-INSIDE-DMZ
nat (inside) 1 192.168.1.0 255.255.255.0
static (dmz,outside) 100.100.100.1 10.1.1.2 netmask 255.255.255.255 
access-group DMZ-PING in interface dmz
access-group INSIDE-PING in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.2.2 1
route inside 192.168.1.0 255.255.255.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
      Last edited by dante04; 14-04-2012, 11:05 AM.

      Comment

      • #4
        thank you! ban cho mình hỏi thêm:tại sao để cho inside ra outside thì mình tạo 1 access-list cho phep 192.168.1.0 ra vùng outside.còn để cho inside vào dmz thì mình lại phải tạo access-list cho phep mạng dmz 10.1.1.0 vào vùng inside. mà không thể tạo access-list cho phép inside ra vùng dmz ?

        Comment

        • #5
          co vấn đề rồi !!!!!!!!!! mình thực hiện thành công từ inside vào dmz và từ dmz ra outside.nhưng sau khi cấu hình inside ra outside thì không thể ping từ dmz ra outside được nữa ???
          mình đã thử rất nhiều lần rồi. và nếu thực hiện riêng bài lab từ inside ra outside thì thành công nhưng nếu thực hiện sau khi cấu hình từ outside vào dmz thì cũng không thành công ???
          có phải do là cùng áp dụng trên cổng outside theo chiều in nên sảy ra trường hợp này không ??? phỉa giải quyết thế nào bây giờ ???
          Click image for larger version Name: 44.jpg Views: 1 Size: 22.9 KB ID: 205751
          Last edited by nguyenvanquyetdt6; 15-04-2012, 02:53 AM.

          Comment

          • #6
            Vi tu inside vao dmz la tu vung security cao truy cap vao thap nen mac dinh duoc cho phep...ban xem lai thu tu bai lab nhe.minh lam bat dau tu inside ra outside, sau do moi toi tu dmz ra outside, nen ko co chuyen khi lam inside ra outside thi tu dmz ko ping dc ra ngoai outside

            Comment

            • #7
              Từ inside ra outside cũng là từ vùng có security cao truy cap tới vùng có security thấp.nếu làm như ban thì vùng dmz có thể ping vào inside.nhưng khi chỉ cho phép truy cấp ra ngoài như inside ra outside thì chỉ có inside moi ping ra được outside.mình đã thử làm access-list permit inside vào dmz thì không thành công. chỉ khi cho phép dmz vào inside thì mới thành công.rõ ràng có sự đối lập ở đây ??? và minh cũng đoán là do thứ tự của bài lab.nhưng why ?? ASA tạo ra bảng acccess-list để so sánh đối chiếu cho phép truy cập hay từ chối.vậy mà thứ tự lại ảnh hưởng tới việc truy cập dữ liệu ??

              Comment

              • #8
                từ inside ra outside, từ inside ra dmz, từ dmz ra outside là các connect từ security level cao tới level thấp, mặc định được allow... còn ngược lại thì deny nếu ko có access-list để cho phép.. vậy tại sao ping từ inside ra outside, từ inside vào dmz, từ dmz ra outside lại cần có access-list để cho phép ? là vì ping là giao thức stateless( ko có thiếp lập, duy trì và ngắt kết nối, asa chỉ dựa vào thời gian timeout nếu ko có dữ liệu truyền đi để ngắt các connect dưới dạng này), ko phải statefull nên khi thực hiện ping từ inside ra outside, từ inside vào dmz, gói tin icmp echo request mặc định được allow, nhưng gói tin icmp echo reply trả về asa sẽ coi đó như là 1 connection mới mà bắt nguồn từ vùng có security thấp tới cao nên nó sẽ deny, do vậy nên cần phải có access-list để allow gói replay trả về được apply vào các interface có security level thấp hơn.
                //thứ tự bài lab ko ảnh hưởng gì đến việc truy cập dữ liệu, bài lab trên mới tạo access-list cho phép icmp, nếu bạn sử dụng các service khác truy cập từ security level thấp đến cao cần tạo thêm các dòng trong access-list.

                Comment

                • #9
                  cái này mình biết rồi.bạn không hiểu ý mình nói nhỉ ??
                  _mình lại thực hiện lại bài lab trên theo trình tự: inside->outside (ok.ping thanh cong) từ inside->dmz (ok.ping được theo cả 2 chiều) từ outside->dmz( ok.ping thành công.nhưng ping lại từ inside ra outside thì không thành công ??) mình thăc mắc có phải có 2 access-list cùng áp dụng trên cổng outside nên xảy ra vấn đề này không ??????????
                  Click image for larger version Name: 5.jpg Views: 1 Size: 23.2 KB ID: 205753
                  _đúng là mình phải tạo access-list để security thấp đến được vùng có security cao.nhưng:
                  +inside->outside:tạo accesslist cho phép mạng 192.168.1.0 đến outside.thì inside có thể đến outside nhưng từ outside thì không thể ping được vào inside vì mình không cho phép.hợp lý.ok!!
                  +inside->dmz:mình cũng cấu hình tương tự như trên cho phép mạng 192.168.1.0 truy cập đên dmz.áp dụng chieu in interface dmz ->không thể ping được từ inside vào dmz.
                  còn nếu cấu hình như bạn nói thì không những inside ping được đến dmz mà dmz cũng có thể ping được đến inside ???
                  Last edited by nguyenvanquyetdt6; 15-04-2012, 12:57 PM.

                  Comment

                  • #10
                    chỉ có 1 access-list trên outside thôi bạn
                    Code:
                    access-list INSIDE-PING extended permit icmp any host 172.16.2.1 echo 
access-list INSIDE-PING extended permit icmp any host 172.16.2.1 echo-reply 
access-list INSIDE-PING extended permit icmp any host 100.100.100.1 echo 
access-list INSIDE-PING extended permit icmp any host 100.100.100.1 echo-reply 
access-group INSIDE-PING in interface outside
                    còn nếu bạn muốn từ inside ping được dmz nhưng dmz ko ping được inside, và outside thì bỏ dong này trong acl đi
                    access-list DMZ-PING extended permit icmp 10.1.1.0 255.255.255.0 any echo
                    Code:
                    [COLOR=#333333]+inside->outside:tạo accesslist cho phép mạng 192.168.1.0 đến outside.thì inside có thể đến outside nhưng từ outside thì không thể ping được vào inside vì mình không cho phép.hợp lý.ok!!
[/COLOR]
                    access-list permit 192.168.1.0 là access-list của NAT chứ ko phải "accesslist cho phép mạng 192.168.1.0 đến outside", còn từ outside ko ping ngược lại được inside vì đã thực hiện dynamic PAT qua interface outside, vùng outside nhìn inside qua địa chỉ 172.16.2.1
                    Last edited by dante04; 15-04-2012, 03:35 PM.

                    Comment

                    • #11
                      cảm ơn bạn đã giúp mình hiểu sâu hơn vấn đề !!!! cảm ơn rất nhiều ..

                      Comment

                      • #12
                        Hi bạn nguyenvanquyetdt6.

                        Bài viết hay nhỉ, bạn có thể tổng hợp lại và post cấu hình của tất cả thiết bị lên cho mọi người tham khảo được không?
                        Hugo

                        Comment

                        • #13
                          Originally posted by nguyenvanquyetdt6 View Post
                          thank you! ban cho mình hỏi thêm:tại sao để cho inside ra outside thì mình tạo 1 access-list cho phep 192.168.1.0 ra vùng outside.còn để cho inside vào dmz thì mình lại phải tạo access-list cho phep mạng dmz 10.1.1.0 vào vùng inside. mà không thể tạo access-list cho phép inside ra vùng dmz ?
                          2 cái đoạn màu đỏ này ý bạn là j thế bạn. mình đọc đi đọc lại câu bạn hỏi nhưng vẫn chưa thể hiểu được bạn định hỏi cái j.

                          thân.

                          Comment

                          • #14
                            bạn ơi.sao mình thực hiện ntn lại không được :
                            nat (inside) 1 192.168.1.0 255.255.255.0
                            global (outside) 1 172.16.2.5
                            access-list in-out extended permit icmp 192.168.1.0 255.255.255.0 172.16.2.0 255.255.255.0 echo
                            access-list in-out extended permit icmp 192.168.1.0 255.255.255.0 172.16.2.0 255.255.255.0 echo-reply
                            access-group in-out in interface outside

                            thì lại không ping được từ 192.168.1.0 ra outside được. mà cứ phải PAT bằng địa chỉ cổng outside.và access-list cho phép tới 172.16.2.1 thì mới ping được.

                            Và khi mình cấu hình ok rồi .lưu lại được rôi.khởi động rồi show lên cấu hình thì ok! cấu hình lại thì nó báo có bản sao sẵn rồi.nhưng khi ping lại thì không được(từ inside vào dmz thì ok!! còn từ dmz ra outside và ngược lại thì không được.),cứ phải xóa cấu hình rồi cấu hình lại thì mới được.thấy mệt quá ah !!!
                            Bạn chỉ giúp mình với ?Click image for larger version Name: C9re.jpg Views: 1 Size: 23.7 KB ID: 205759
                            Last edited by nguyenvanquyetdt6; 02-05-2012, 09:49 AM.

                            Comment

                            • #15
                              có phải là để cho inside ra outside thì phải tạo:
                              access-list in-out extended permit icmp 192.168.1.0 255.255.255.0 host 172.16.2.1 echo
                              access-list in-out extended permit icmp 192.168.1.0 255.255.255.0 host 172.16.2.1 echo-reply
                              còn khi cho inside ping vào dmz:
                              access-list in-dmz extended permit icmp 10.1.1.0 255.255.255.0 192.168.1.0 255.255.255.0 echo-reply
                              nhưng khi làm tương tự như cho inside ra outside thì mình phải tạo là:
                              access-list in-dmz extended permit icmp 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0 echo
                              access-list in-dmz extended permit icmp 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0 echo-reply
                              thì không được.

                              Comment

                              Previous 1 2 template Next
                              Working...
                              X