Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Externer Zugriff über ASA 5505 von genau einer IP nach intern gestatten

Frage Netzwerke Netzwerkgrundlagen

Mitglied: lmsa18

lmsa18 (Level 1) - Jetzt verbinden

02.10.2012 um 09:19 Uhr, 3360 Aufrufe, 5 Kommentare

Hallo,

ich habe folgendes vor:

Ausgangstellung ist eine ASA 5505 mit einer öffentlichen IP.
Ich möchte von extern, von genau einer öffentlichen IP (nennen wir diese 22.22.22.22) auf eine interne IP (192.168.1.2) zugreifen. Nur über die TCP Ports 80 und 554.

Mir ist nicht klar was ich genau benötige, eine ACL mit NAT eine statische Route???

Hoffe mir kann jemand weiterhelfen.

folgend die Konfiguration der ASA:


ASA Version 7.2(4)
!
domain-name default.domain.invalid
enable password xxxxxxxxxx
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.0.0
!
interface Vlan2
nameif outside
security-level 0
ip address 111.111.111.111 <-- soll öffentliche IP sein
!
ftp mode passive
dns domain-lookup outside
dns server-group DefaultDNS
name-server 123.123.123.111
domain-name default.domain.invalid
object-group icmp-type ICMP-INBOUND
description Permit necessary inbound ICMP traffic
icmp-object echo-reply
icmp-object unreachable
icmp-object time-exceeded
access-list INBOUND extended permit icmp any any object-group ICMP-INBOUND
pager lines 24
logging enable
logging console notifications
logging buffered warnings
logging asdm notifications
mtu inside 1500
mtu outside 1492
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group INBOUND in interface outside
route outside 0.0.0.0 0.0.0.0 123.123.123.120 1
http server enable
http 192.168.1.0 255.255.255.0 inside
!
dhcpd address 192.168.1.2-192.168.1.128 inside
dhcpd enable inside
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:68b1656b5409bbff61cfaaf53601fd5c
: end
Mitglied: brammer
02.10.2012 um 09:24 Uhr
Hallo,

du benötigst eine ACL mit einem permit für eine IP Adresse
http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/ ...

brammer
Bitte warten ..
Mitglied: lmsa18
02.10.2012 um 10:07 Uhr
Hi brammer,

vielen Dank für die schnelle Antwort.

Sollte es dann so aussehen:
- access-list outside permit ip host x.x.x.x(externe IP) host y.y.y.y (interne IP) eq 80
- access-list outside permit ip host x.x.x.x(externe IP) host y.y.y.y (interne IP) eq 554

Wenn ich das so versuche, dann meckert die ASA das "eq" an.
Ich habe noch nie mit ACL´s gearbeitet...ist für mich neuland. Kannst du mir bitte weiterhelfen?

Gruß
Bitte warten ..
Mitglied: lmsa18
02.10.2012 um 10:30 Uhr
Ich stelle mir noch eine weitere Frage, woher weiß denn der externe Host das er über die ASA zur internen IP kommt?

Muss da kein Routing Eintrag oder ein NAT rein?

Nehmen wir an ich habe einen Host mit der IP 86.14.6.2 und möchte jetzt direkt auf die interne IP (192.168.1.2) per http zugreifen.
So muss die ASA doch wissen wenn das ich mit der IP (86.14.6.2) ankomme und mich zu der internen IP weiterleiten.
Bzw. muss ich dann mit dem externen Host die öffentliche IP der ASA ansprechen, damit diese mich weiterleitet oder verstehe ich das falsch?

Gruß
Bitte warten ..
Mitglied: brammer
02.10.2012, aktualisiert um 13:55 Uhr
Hallo,

versuche es so:

01.
ciscoasa(config)#access-list 110 extended permit tcp any host 13.14.15.6 eq 80
und lies mal hier

brammer
Bitte warten ..
Mitglied: lmsa18
04.10.2012 um 10:05 Uhr
Hallo brammer,

also das mit der ACL habe ich soweit verstanden.
Sieht dann wie folgt aus:

"access-list outside_access_in extended permit tcp any host 192.168.1.2 eq 80"
"access-group outside_access_in in interface outside"

Nun muss der externe Host ja wissen wohin er weitergeleitet werden soll, wenn er auf die öffentlich IP der ASA zugreift.
D.h. wenn die ASA sieht es kommt ein Client mit der IP x.x.x.x an, dann leite ich diesen weiter an die interne IP.

Das wird wohl nur mit NAT gehen oder?
Ich dachte es funktioniert so in etwa:
"static (inside,outside) "öffentliche IP" 192.168.1.2 netmask 255.255.255.255"

Kannst du mir weiterhelfen?
Gruß und Danke
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
Externer Zugriff auf NAS mit Glasfasermodem + Fritzbox (1)

Frage von sadi191 zum Thema Router & Routing ...

Router & Routing
gelöst ASA 5505 in einer bestehenden VLAN Layer 3 Umgebung (3)

Frage von Nightloop zum Thema Router & Routing ...

Cloud-Dienste
gelöst Nextcloud-Externer Zugriff nicht möglich "verbindung abgelehnt" (9)

Frage von R14943 zum Thema Cloud-Dienste ...

Router & Routing
Externer Zugriff auf Kamera-Client (10)

Frage von Realbilly zum Thema Router & Routing ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...