thực hiện ping từ inside vào dmz ? và inside ra outside ?

[nguyenvanquyetdt6]

Mình có mạng inside:192.168.1.0
dmz:10.1.1.2
ASA có outside(172.16.2.1) nối với router R2 (172.16.2.2)
ASA có inside(172.16.1.1) nối với router R1 (172.16.1.2)
thực hiện ping từ outside vào dmz đã thành công !!!
_cấu hình :static (dmz,outside) 100.100.100.1 10.1.1.2 netmask 255.255.255.255
* từ inside vào dmz:
mình xem các bài đăng trước đó nên đã có các phương án như sau:
access-list no-nat extended permit icmp 192.168.1.0 255.255.255.0 host 10.1.1.2 echo
access-list no-nat extended permit icmp 192.168.1.0 255.255.255.0 host 10.1.1.2 echo-reply
nat(inside) 0 access-list no-nat
=>error:access-list has protocol or pat. minh hiểu rằng khi đi từ inside vào dmz thì không cần nat nên thực hiện nat 0.còn access-list thì phải áp dụng cho cổng nào ???
_khi đi từ mức an ninh cao đến thấp thì chỉ cần nat cho cùng với địa chỉ của mạng có mức an ninh thấp hơn:
*từ inside ra internet:
access-list Internet extended permit ip 192.168.1.0 255.255.255.0 any
nat (inside) 1 access-list Internet
global (outside) 1 172.16.2.3 netmask 255.255.255.255
=> mình thử ping vẫn chưa được. nên thắc mắc hay là phải đổi lại là:
access-list Internet extended permit icmp 192.168.1.0 255.255.255.0 any echo
access-list Internet extended permit icmp 192.168.1.0 255.255.255.0 any echo-reply
và cả hai trường hợp thì phải áp dụng cho cổng nào ? mình không thấy ai nhắc đến việc này ?
_và theo như bài post cau hinh pix 515 từ inside vào dmz thì mình phải nat vùng dmz ra outside có ip global trùng với địa chỉ mạng inside và cấu hình như thế này không ?

static (dmz,outside) 192.168.1.252 10.1.1.2 netmask 255.255.255.255
static (inside,dmz) 192.168.1.0 192.168.1.0 netmask 255.255.255.0

Mong các bạn cho mình ý kiến ? mình mới học nên không biết thế nào mới là đúng cả.hi! và phải làm thế nào để ping được từ inside vào dmz và ra internet ?


333.jpg

[nguyenvanquyetdt6]

ai giup toi voi. t dang lam do an ve cai nay.ngoai forum nay toi chang biet nho ai nua.

[dante04]

làm từng bước cho bạn:
- cấu hình các địa chỉ , trên R3 trỏ default route về asa, trên dmz trỏ default route về asa, trên asa trỏ default route đến outside và route giải mạng 192.168.1.0/24 qua interface inside, trên outside R1 route giải mạng 100.100.100.0/24 qua 172.16.2.1.
- test thử ping từ asa đến các vùng xem ok ko. ping từ các vùng đến asa xem ok ko.
- để inside (192.168.1.0/24) ra được ngoài outside và ping được từ inside ra ngoài outside

Code:

asa:
nat (inside) 1 192.168.1.0 255.255.255.0
global (outside) 1 interface

access-list INSIDE-PING extended permit icmp any host 172.16.2.1 echo 
access-list INSIDE-PING extended permit icmp any host 172.16.2.1 echo-reply
access-group INSIDE-PING in interface outside

route outside 0.0.0.0 0.0.0.0 172.16.2.2 
route inside 192.168.1.0 255.255.255.0 172.16.1.1

ping thử từ R3 ra ngoài outside:

R3# ping 172.16.2.2 source 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.2.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/35/52 ms

R3# ping 10.10.10.1 source 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/39/52 ms

- để từ inside ping được vào dmz và thực hiên identity NAT (NAT 0) đối với các packet từ inside vào dmz, hoặc bạn có thể dùng static NAT "static (inside,dmz) 192.168.1.0 192.168.1.0 netmask 255.255.255.0" cũng ok

Code:

asa:
access-list NONAT-INSIDE-DMZ extended permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0 
access-list DMZ-PING extended permit icmp 10.1.1.0 255.255.255.0 any echo 
access-list DMZ-PING extended permit icmp 10.1.1.0 255.255.255.0 any echo-reply 
nat (inside) 0 access-list NONAT-INSIDE-DMZ
access-group DMZ-PING in interface dmz

ping thử từ R3 vào DMZ:
R3#ping 10.1.1.2 source 192.168.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.1 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/46/80 ms

- để outside nhìn server trong DMZ dưới địa chỉ 100.100.100.1 và ping được từ outside đến 100.100.100.1

Code:

asa: thêm 2 dòng vào access-list INSIDE-PING được apply vào interface outside

access-list INSIDE-PING extended permit icmp any host 100.100.100.1 echo 
access-list INSIDE-PING extended permit icmp any host 100.100.100.1 echo-reply

static (dmz,outside) 100.100.100.1 10.1.1.2 netmask 255.255.255.255

ping thử từ outside R1 tới 100.100.100.1 :
R1#ping 100.100.100.1Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.100.100.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/40/96 ms


R1#ping 100.100.100.1 source 10.10.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.100.100.1, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.1 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/32/56 ms

ping từ DMZ R2 ra ngoài outside:
R2#ping 172.16.2.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.2.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/32/88 ms


R2#ping 10.10.10.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/36/68 ms

cấu hình đầy đủ trên asa:

Code:

interface Ethernet0
 nameif inside
 security-level 100
 ip address 172.16.1.1 255.255.255.0 
!
interface Ethernet1
 nameif dmz
 security-level 50
 ip address 10.1.1.1 255.255.255.0 
!
interface Ethernet2
 nameif outside
 security-level 0
 ip address 172.16.2.1 255.255.255.0 
!
interface Ethernet3
 shutdown
 no nameif    
 no security-level
 no ip address
!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list INSIDE-PING extended permit icmp any host 172.16.2.1 echo 
access-list INSIDE-PING extended permit icmp any host 172.16.2.1 echo-reply 
access-list INSIDE-PING extended permit icmp any host 100.100.100.1 echo 
access-list INSIDE-PING extended permit icmp any host 100.100.100.1 echo-reply 
access-list NONAT-INSIDE-DMZ extended permit ip 192.168.1.0 255.255.255.0 10.1.1.0 255.255.255.0 
access-list DMZ-PING extended permit icmp 10.1.1.0 255.255.255.0 any echo 
access-list DMZ-PING extended permit icmp 10.1.1.0 255.255.255.0 any echo-reply 
pager lines 24
mtu inside 1500
mtu dmz 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list NONAT-INSIDE-DMZ
nat (inside) 1 192.168.1.0 255.255.255.0
static (dmz,outside) 100.100.100.1 10.1.1.2 netmask 255.255.255.255 
access-group DMZ-PING in interface dmz
access-group INSIDE-PING in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.2.2 1
route inside 192.168.1.0 255.255.255.0 172.16.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no crypto isakmp nat-traversal
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat

[nguyenvanquyetdt6]

thank you! ban cho mình hỏi thêm:tại sao để cho inside ra outside thì mình tạo 1 access-list cho phep 192.168.1.0 ra vùng outside.còn để cho inside vào dmz thì mình lại phải tạo access-list cho phep mạng dmz 10.1.1.0 vào vùng inside. mà không thể tạo access-list cho phép inside ra vùng dmz ?

[nguyenvanquyetdt6]

co vấn đề rồi !!!!!!!!!! mình thực hiện thành công từ inside vào dmz và từ dmz ra outside.nhưng sau khi cấu hình inside ra outside thì không thể ping từ dmz ra outside được nữa ???
mình đã thử rất nhiều lần rồi. và nếu thực hiện riêng bài lab từ inside ra outside thì thành công nhưng nếu thực hiện sau khi cấu hình từ outside vào dmz thì cũng không thành công ???
có phải do là cùng áp dụng trên cổng outside theo chiều in nên sảy ra trường hợp này không ??? phỉa giải quyết thế nào bây giờ ???
44.jpg

[dante04]

Vi tu inside vao dmz la tu vung security cao truy cap vao thap nen mac dinh duoc cho phep...ban xem lai thu tu bai lab nhe.minh lam bat dau tu inside ra outside, sau do moi toi tu dmz ra outside, nen ko co chuyen khi lam inside ra outside thi tu dmz ko ping dc ra ngoai outside

[nguyenvanquyetdt6]

Từ inside ra outside cũng là từ vùng có security cao truy cap tới vùng có security thấp.nếu làm như ban thì vùng dmz có thể ping vào inside.nhưng khi chỉ cho phép truy cấp ra ngoài như inside ra outside thì chỉ có inside moi ping ra được outside.mình đã thử làm access-list permit inside vào dmz thì không thành công. chỉ khi cho phép dmz vào inside thì mới thành công.rõ ràng có sự đối lập ở đây ??? và minh cũng đoán là do thứ tự của bài lab.nhưng why ?? ASA tạo ra bảng acccess-list để so sánh đối chiếu cho phép truy cập hay từ chối.vậy mà thứ tự lại ảnh hưởng tới việc truy cập dữ liệu ??

[dante04]

từ inside ra outside, từ inside ra dmz, từ dmz ra outside là các connect từ security level cao tới level thấp, mặc định được allow... còn ngược lại thì deny nếu ko có access-list để cho phép.. vậy tại sao ping từ inside ra outside, từ inside vào dmz, từ dmz ra outside lại cần có access-list để cho phép ? là vì ping là giao thức stateless( ko có thiếp lập, duy trì và ngắt kết nối, asa chỉ dựa vào thời gian timeout nếu ko có dữ liệu truyền đi để ngắt các connect dưới dạng này), ko phải statefull nên khi thực hiện ping từ inside ra outside, từ inside vào dmz, gói tin icmp echo request mặc định được allow, nhưng gói tin icmp echo reply trả về asa sẽ coi đó như là 1 connection mới mà bắt nguồn từ vùng có security thấp tới cao nên nó sẽ deny, do vậy nên cần phải có access-list để allow gói replay trả về được apply vào các interface có security level thấp hơn.
//thứ tự bài lab ko ảnh hưởng gì đến việc truy cập dữ liệu, bài lab trên mới tạo access-list cho phép icmp, nếu bạn sử dụng các service khác truy cập từ security level thấp đến cao cần tạo thêm các dòng trong access-list.

[nguyenvanquyetdt6]

cái này mình biết rồi.bạn không hiểu ý mình nói nhỉ ??
_mình lại thực hiện lại bài lab trên theo trình tự: inside->outside (ok.ping thanh cong) từ inside->dmz (ok.ping được theo cả 2 chiều) từ outside->dmz( ok.ping thành công.nhưng ping lại từ inside ra outside thì không thành công ??) mình thăc mắc có phải có 2 access-list cùng áp dụng trên cổng outside nên xảy ra vấn đề này không ??????????
5.jpg
_đúng là mình phải tạo access-list để security thấp đến được vùng có security cao.nhưng:
+inside->outside:tạo accesslist cho phép mạng 192.168.1.0 đến outside.thì inside có thể đến outside nhưng từ outside thì không thể ping được vào inside vì mình không cho phép.hợp lý.ok!!
+inside->dmz:mình cũng cấu hình tương tự như trên cho phép mạng 192.168.1.0 truy cập đên dmz.áp dụng chieu in interface dmz ->không thể ping được từ inside vào dmz.
còn nếu cấu hình như bạn nói thì không những inside ping được đến dmz mà dmz cũng có thể ping được đến inside ???

[dante04]

chỉ có 1 access-list trên outside thôi bạn

Code:

access-list INSIDE-PING extended permit icmp any host 172.16.2.1 echo 
access-list INSIDE-PING extended permit icmp any host 172.16.2.1 echo-reply 
access-list INSIDE-PING extended permit icmp any host 100.100.100.1 echo 
access-list INSIDE-PING extended permit icmp any host 100.100.100.1 echo-reply 
access-group INSIDE-PING in interface outside

còn nếu bạn muốn từ inside ping được dmz nhưng dmz ko ping được inside, và outside thì bỏ dong này trong acl đi
access-list DMZ-PING extended permit icmp 10.1.1.0 255.255.255.0 any echo

Code:

+inside->outside:tạo accesslist cho phép mạng 192.168.1.0 đến outside.thì inside có thể đến outside nhưng từ outside thì không thể ping được vào inside vì mình không cho phép.hợp lý.ok!!

access-list permit 192.168.1.0 là access-list của NAT chứ ko phải "accesslist cho phép mạng 192.168.1.0 đến outside", còn từ outside ko ping ngược lại được inside vì đã thực hiện dynamic PAT qua interface outside, vùng outside nhìn inside qua địa chỉ 172.16.2.1