5
Externer Zugriff über ASA 5505 von genau einer IP nach intern gestatten
Hallo,
ich habe folgendes vor:
Ausgangstellung ist eine ASA 5505 mit einer öffentlichen IP.
Ich möchte von extern, von genau einer öffentlichen IP (nennen wir diese 22.22.22.22) auf eine interne IP (192.168.1.2) zugreifen. Nur über die TCP Ports 80 und 554.
Mir ist nicht klar was ich genau benötige, eine ACL mit NAT eine statische Route???
Hoffe mir kann jemand weiterhelfen.
folgend die Konfiguration der ASA:
ASA Version 7.2(4)
!
domain-name default.domain.invalid
enable password xxxxxxxxxx
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.0.0
!
interface Vlan2
nameif outside
security-level 0
ip address 111.111.111.111 <-- soll öffentliche IP sein
!
ftp mode passive
dns domain-lookup outside
dns server-group DefaultDNS
name-server 123.123.123.111
domain-name default.domain.invalid
object-group icmp-type ICMP-INBOUND
description Permit necessary inbound ICMP traffic
icmp-object echo-reply
icmp-object unreachable
icmp-object time-exceeded
access-list INBOUND extended permit icmp any any object-group ICMP-INBOUND
pager lines 24
logging enable
logging console notifications
logging buffered warnings
logging asdm notifications
mtu inside 1500
mtu outside 1492
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group INBOUND in interface outside
route outside 0.0.0.0 0.0.0.0 123.123.123.120 1
http server enable
http 192.168.1.0 255.255.255.0 inside
!
dhcpd address 192.168.1.2-192.168.1.128 inside
dhcpd enable inside
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:68b1656b5409bbff61cfaaf53601fd5c
: end
ich habe folgendes vor:
Ausgangstellung ist eine ASA 5505 mit einer öffentlichen IP.
Ich möchte von extern, von genau einer öffentlichen IP (nennen wir diese 22.22.22.22) auf eine interne IP (192.168.1.2) zugreifen. Nur über die TCP Ports 80 und 554.
Mir ist nicht klar was ich genau benötige, eine ACL mit NAT eine statische Route???
Hoffe mir kann jemand weiterhelfen.
folgend die Konfiguration der ASA:
ASA Version 7.2(4)
!
domain-name default.domain.invalid
enable password xxxxxxxxxx
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.0.0
!
interface Vlan2
nameif outside
security-level 0
ip address 111.111.111.111 <-- soll öffentliche IP sein
!
ftp mode passive
dns domain-lookup outside
dns server-group DefaultDNS
name-server 123.123.123.111
domain-name default.domain.invalid
object-group icmp-type ICMP-INBOUND
description Permit necessary inbound ICMP traffic
icmp-object echo-reply
icmp-object unreachable
icmp-object time-exceeded
access-list INBOUND extended permit icmp any any object-group ICMP-INBOUND
pager lines 24
logging enable
logging console notifications
logging buffered warnings
logging asdm notifications
mtu inside 1500
mtu outside 1492
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group INBOUND in interface outside
route outside 0.0.0.0 0.0.0.0 123.123.123.120 1
http server enable
http 192.168.1.0 255.255.255.0 inside
!
dhcpd address 192.168.1.2-192.168.1.128 inside
dhcpd enable inside
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:68b1656b5409bbff61cfaaf53601fd5c
: end
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 192086
Url: https://administrator.de/contentid/192086
Printed on: April 26, 2024 at 16:04 o'clock
5 Comments
Latest comment
Hallo,
du benötigst eine ACL mit einem permit für eine IP Adresse
http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/ ...
brammer
du benötigst eine ACL mit einem permit für eine IP Adresse
http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/ ...
brammer
Hi brammer,
vielen Dank für die schnelle Antwort.
Sollte es dann so aussehen:
- access-list outside permit ip host x.x.x.x(externe IP) host y.y.y.y (interne IP) eq 80
- access-list outside permit ip host x.x.x.x(externe IP) host y.y.y.y (interne IP) eq 554
Wenn ich das so versuche, dann meckert die ASA das "eq" an.
Ich habe noch nie mit ACL´s gearbeitet...ist für mich neuland. Kannst du mir bitte weiterhelfen?
Gruß
vielen Dank für die schnelle Antwort.
Sollte es dann so aussehen:
- access-list outside permit ip host x.x.x.x(externe IP) host y.y.y.y (interne IP) eq 80
- access-list outside permit ip host x.x.x.x(externe IP) host y.y.y.y (interne IP) eq 554
Wenn ich das so versuche, dann meckert die ASA das "eq" an.
Ich habe noch nie mit ACL´s gearbeitet...ist für mich neuland. Kannst du mir bitte weiterhelfen?
Gruß
Ich stelle mir noch eine weitere Frage, woher weiß denn der externe Host das er über die ASA zur internen IP kommt?
Muss da kein Routing Eintrag oder ein NAT rein?
Nehmen wir an ich habe einen Host mit der IP 86.14.6.2 und möchte jetzt direkt auf die interne IP (192.168.1.2) per http zugreifen.
So muss die ASA doch wissen wenn das ich mit der IP (86.14.6.2) ankomme und mich zu der internen IP weiterleiten.
Bzw. muss ich dann mit dem externen Host die öffentliche IP der ASA ansprechen, damit diese mich weiterleitet oder verstehe ich das falsch?
Gruß
Muss da kein Routing Eintrag oder ein NAT rein?
Nehmen wir an ich habe einen Host mit der IP 86.14.6.2 und möchte jetzt direkt auf die interne IP (192.168.1.2) per http zugreifen.
So muss die ASA doch wissen wenn das ich mit der IP (86.14.6.2) ankomme und mich zu der internen IP weiterleiten.
Bzw. muss ich dann mit dem externen Host die öffentliche IP der ASA ansprechen, damit diese mich weiterleitet oder verstehe ich das falsch?
Gruß
Hallo,
versuche es so:
und lies mal hier
brammer
versuche es so:
ciscoasa(config)#access-list 110 extended permit tcp any host 13.14.15.6 eq 80und lies mal hier
brammer
Hallo brammer,
also das mit der ACL habe ich soweit verstanden.
Sieht dann wie folgt aus:
"access-list outside_access_in extended permit tcp any host 192.168.1.2 eq 80"
"access-group outside_access_in in interface outside"
Nun muss der externe Host ja wissen wohin er weitergeleitet werden soll, wenn er auf die öffentlich IP der ASA zugreift.
D.h. wenn die ASA sieht es kommt ein Client mit der IP x.x.x.x an, dann leite ich diesen weiter an die interne IP.
Das wird wohl nur mit NAT gehen oder?
Ich dachte es funktioniert so in etwa:
"static (inside,outside) "öffentliche IP" 192.168.1.2 netmask 255.255.255.255"
Kannst du mir weiterhelfen?
Gruß und Danke
also das mit der ACL habe ich soweit verstanden.
Sieht dann wie folgt aus:
"access-list outside_access_in extended permit tcp any host 192.168.1.2 eq 80"
"access-group outside_access_in in interface outside"
Nun muss der externe Host ja wissen wohin er weitergeleitet werden soll, wenn er auf die öffentlich IP der ASA zugreift.
D.h. wenn die ASA sieht es kommt ein Client mit der IP x.x.x.x an, dann leite ich diesen weiter an die interne IP.
Das wird wohl nur mit NAT gehen oder?
Ich dachte es funktioniert so in etwa:
"static (inside,outside) "öffentliche IP" 192.168.1.2 netmask 255.255.255.255"
Kannst du mir weiterhelfen?
Gruß und Danke