Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Externer Zugriff über ASA 5505 von genau einer IP nach intern gestatten

Frage Netzwerke Netzwerkgrundlagen

Mitglied: lmsa18

lmsa18 (Level 1) - Jetzt verbinden

02.10.2012 um 09:19 Uhr, 3476 Aufrufe, 5 Kommentare

Hallo,

ich habe folgendes vor:

Ausgangstellung ist eine ASA 5505 mit einer öffentlichen IP.
Ich möchte von extern, von genau einer öffentlichen IP (nennen wir diese 22.22.22.22) auf eine interne IP (192.168.1.2) zugreifen. Nur über die TCP Ports 80 und 554.

Mir ist nicht klar was ich genau benötige, eine ACL mit NAT eine statische Route???

Hoffe mir kann jemand weiterhelfen.

folgend die Konfiguration der ASA:


ASA Version 7.2(4)
!
domain-name default.domain.invalid
enable password xxxxxxxxxx
names
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.0.0
!
interface Vlan2
nameif outside
security-level 0
ip address 111.111.111.111 <-- soll öffentliche IP sein
!
ftp mode passive
dns domain-lookup outside
dns server-group DefaultDNS
name-server 123.123.123.111
domain-name default.domain.invalid
object-group icmp-type ICMP-INBOUND
description Permit necessary inbound ICMP traffic
icmp-object echo-reply
icmp-object unreachable
icmp-object time-exceeded
access-list INBOUND extended permit icmp any any object-group ICMP-INBOUND
pager lines 24
logging enable
logging console notifications
logging buffered warnings
logging asdm notifications
mtu inside 1500
mtu outside 1492
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group INBOUND in interface outside
route outside 0.0.0.0 0.0.0.0 123.123.123.120 1
http server enable
http 192.168.1.0 255.255.255.0 inside
!
dhcpd address 192.168.1.2-192.168.1.128 inside
dhcpd enable inside
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:68b1656b5409bbff61cfaaf53601fd5c
: end
Mitglied: brammer
02.10.2012 um 09:24 Uhr
Hallo,

du benötigst eine ACL mit einem permit für eine IP Adresse
http://www.cisco.com/en/US/docs/security/asa/asa72/configuration/guide/ ...

brammer
Bitte warten ..
Mitglied: lmsa18
02.10.2012 um 10:07 Uhr
Hi brammer,

vielen Dank für die schnelle Antwort.

Sollte es dann so aussehen:
- access-list outside permit ip host x.x.x.x(externe IP) host y.y.y.y (interne IP) eq 80
- access-list outside permit ip host x.x.x.x(externe IP) host y.y.y.y (interne IP) eq 554

Wenn ich das so versuche, dann meckert die ASA das "eq" an.
Ich habe noch nie mit ACL´s gearbeitet...ist für mich neuland. Kannst du mir bitte weiterhelfen?

Gruß
Bitte warten ..
Mitglied: lmsa18
02.10.2012 um 10:30 Uhr
Ich stelle mir noch eine weitere Frage, woher weiß denn der externe Host das er über die ASA zur internen IP kommt?

Muss da kein Routing Eintrag oder ein NAT rein?

Nehmen wir an ich habe einen Host mit der IP 86.14.6.2 und möchte jetzt direkt auf die interne IP (192.168.1.2) per http zugreifen.
So muss die ASA doch wissen wenn das ich mit der IP (86.14.6.2) ankomme und mich zu der internen IP weiterleiten.
Bzw. muss ich dann mit dem externen Host die öffentliche IP der ASA ansprechen, damit diese mich weiterleitet oder verstehe ich das falsch?

Gruß
Bitte warten ..
Mitglied: brammer
02.10.2012, aktualisiert um 13:55 Uhr
Hallo,

versuche es so:

01.
ciscoasa(config)#access-list 110 extended permit tcp any host 13.14.15.6 eq 80
und lies mal hier

brammer
Bitte warten ..
Mitglied: lmsa18
04.10.2012 um 10:05 Uhr
Hallo brammer,

also das mit der ACL habe ich soweit verstanden.
Sieht dann wie folgt aus:

"access-list outside_access_in extended permit tcp any host 192.168.1.2 eq 80"
"access-group outside_access_in in interface outside"

Nun muss der externe Host ja wissen wohin er weitergeleitet werden soll, wenn er auf die öffentlich IP der ASA zugreift.
D.h. wenn die ASA sieht es kommt ein Client mit der IP x.x.x.x an, dann leite ich diesen weiter an die interne IP.

Das wird wohl nur mit NAT gehen oder?
Ich dachte es funktioniert so in etwa:
"static (inside,outside) "öffentliche IP" 192.168.1.2 netmask 255.255.255.255"

Kannst du mir weiterhelfen?
Gruß und Danke
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
Externe IP von intern ansprechen
gelöst Frage von X42KampfpanzerLAN, WAN, Wireless3 Kommentare

Hallo, ich bin seit langem stiller Mitleser und habe mich jetzt mal angemeldet weil ich eine Frage habe. Durch ...

Firewall
Konfiguration von VLAN an einer ASA 5505
gelöst Frage von gmeurbFirewall4 Kommentare

Hallo, ich möchte einem Port an meiner ASA (SEC PLUS-Lizenz vorhanden) so einrichten, dass später ein virtuelles VLAN darauf ...

Netzwerke
ASA 5505 Clientless SSL und RDP
gelöst Frage von JoeJoeNetzwerke3 Kommentare

Hallo zusammen, habe eine ASA5505 mit ASA Version 8.0(3) ASDM Version 6.4(9) Java 1.7.0_60-b90 Https sind im IE11 und ...

Router & Routing
Ist doppeltes Routing mit einer asa 5505 möglich?
gelöst Frage von luchs3Router & Routing8 Kommentare

Hallo, Laut meinem ISP brauche ich folgende Konfiguration: Ich bräuchte für mein Privates Netz eigentlich zwei Router, da die ...

Neue Wissensbeiträge
Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 17 StundenBatch & Shell8 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 19 StundenHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Sicherheit

Sicherheitslücke in HP-Druckern - Firmware-Updates stehen bereit

Information von BassFishFox vor 1 TagSicherheit1 Kommentar

Ein weiterer Grund, dass Drucker keinerlei Verbindung nach "auswaerts" haben sollen. Unter Verwendung spezieller Malware können Angreifer aus der ...

Heiß diskutierte Inhalte
Windows Server
RDP macht Server schneller???
Frage von JaniDJWindows Server17 Kommentare

Hallo Community, wir betrieben seit geraumer Zeit diverse virtuelle Maschinen und Server mit Windows Server 2012. Leider haben wir ...

Windows 10
Bitlocker nach Verschlüsselung nicht mehr aufrufbar!
gelöst Frage von alexlazaWindows 1013 Kommentare

Hallo, ich besitze ein HP ZBook 17 G4 mit einem Windows 10 Pro Betriebssystem. Bei diesem Problem handelt sich, ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Windows Server
Sichere Remote Desktop Verbindung wie?
gelöst Frage von nuss33Windows Server11 Kommentare

Hallo zusammen, eins vorweg: Ich besitze einen privaten Windows Server 2008 R2 zu Hause im Netzwerk er wird nicht ...