Cisco - управление cisco <Cisco PIX 515 Firewall>

kim-aa · Конфигурация компьютера

Вы собственно самое интересное пропустили, имхо.

Вы ACLы привели
Интерфейсы привели

А привезку ACLов к SecurityLevel - опустили

Так же интересна привязка к виртуальным консолям, т.к ограничивающе правило может быть и там

oren_yastreb · Отправлено: **17:21, 23-06-2010** | #12

выкладываю вторую часть
ip local pool VPNpool 192.168.77.1-192.168.77.254
asdm image flash:/asdm508.bin
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list no_nat_ins
nat (inside) 1 access-list nat_acl
nat (DMZ) 0 xxxxxxxx xxxxxxxx
static (inside,outside) tcp xxxxxxxx 13000 xxxxxxxx 13000 netmask 255.255.255.255
static (inside,outside) xxxxxxxx xxxxxxxx netmask 255.255.255.255
access-group in_acl in interface inside
access-group dmz_acl in interface DMZ
access-group outside_acl in interface outside
route inside xxxxxxxx 255.255.255.0 xxxxxxxx 1
route inside 192.168.0.0 255.255.255.0 xxxxxxxx 1
route inside 192.168.1.0 255.255.255.0 172.16.1.2 1
route outside 0.0.0.0 0.0.0.0 xxxxxxxx 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server partnerauth protocol radius
aaa-server partnerauth (inside) host 192.168.0.195
timeout 5
key cisco123
group-policy vpn3000 internal
group-policy vpn3000 attributes
dns-server value 192.168.0.195
ipsec-udp enable
split-tunnel-policy tunnelspecified
split-tunnel-network-list value vpn_route
default-domain value arb.com
username vpnuser password dbZlaKnmx5Ec1GDh encrypted
username mtron password A4Y9v27TxW8cInHf encrypted
aaa authentication ssh console LOCAL
http server enable
http 192.168.0.9 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp authentication linkup linkdown coldstart
snmp-server enable traps syslog
crypto ipsec transform-set vpn_ts esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 86400
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map dynmap 10 set transform-set vpn_ts
crypto dynamic-map dynmap 10 set security-association lifetime seconds 86400
crypto dynamic-map dynmap 10 set security-association lifetime kilobytes 4608000
crypto dynamic-map dynmap 10 set reverse-route
crypto map eee 1000 ipsec-isakmp dynamic dynmap
crypto map eee interface outside
isakmp identity address
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
tunnel-group DefaultRAGroup general-attributes
authentication-server-group (inside) none
tunnel-group vpn3000 type ipsec-ra
tunnel-group vpn3000 general-attributes
address-pool VPNpool
authentication-server-group (inside) LOCAL
default-group-policy vpn3000
tunnel-group vpn3000 ipsec-attributes
pre-shared-key *
telnet timeout 5
ssh xxxxxxxx 255.255.255.255 outside
ssh xxxxxxxx 255.255.255.255 outside
ssh xxxxxxxx 255.255.255.240 outside
ssh xxxxxxxx 255.255.255.252 outside
ssh xxxxxxxx 255.255.255.252 outside
ssh timeout 5
ssh version 1
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect http
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:dffdec037ea69ed35ff83b63e52525f1
: end

kim-aa · Конфигурация компьютера

Цитата oren_yastreb:

http server enable
http 192.168.0.9 255.255.255.255 inside »

Вот, кстати, выведено управление по http

Цитата oren_yastreb:

access-list in_acl extended permit tcp host xxxxxxx host xxxxxxx eq smtp
access-list in_acl extended permit tcp xxxxxxx xxxxxxx host xxxxxxx eq 8080
access-list in_acl extended permit udp host xxxxxxx any eq domain
access-list in_acl extended permit ip host xxxxxxx host xxxxxxx
access-list in_acl extended permit ip host 192.168.0.243 host xxxxxxx
access-list in_acl extended permit tcp host 192.168.0.19 any eq smtp
access-list in_acl extended permit tcp host 192.168.0.19 any eq pop3
access-list in_acl extended permit tcp host xxxxxxx any eq smtp
access-list in_acl extended permit tcp host 192.168.0.200 host xxxxxxx eq ftp
access-list in_acl extended permit icmp host 192.168.0.200 host xxxxxxx
access-list in_acl extended permit ip host 192.168.0.200 host xxxxxxx
access-list in_acl extended permit ip host 192.168.0.200 host xxxxxxx
access-list in_acl extended permit ip host 192.168.0.200 host xxxxxxx
access-list in_acl extended permit ip host 192.168.0.200 host xxxxxxx
access-list in_acl extended permit tcp xxxxxxx xxxxxxx host xxxxxxx eq www
access-list in_acl extended permit ip host 192.168.0.200 host 80.253.4.7
access-list in_acl extended permit ip host 192.168.0.200 host 80.253.4.6
access-list in_acl extended permit tcp host 192.168.0.200 host 81.23.101.8 eq ftp
access-list in_acl extended permit tcp host 192.168.0.200 host 85.249.141.170 eq ftp
access-list in_acl extended permit ip host 192.168.0.200 any
access-list in_acl extended permit tcp host xxxxxxx host 216.21.229.209 eq ftp
access-list in_acl extended permit tcp host 192.168.0.66 any eq ftp
access-list in_acl extended permit tcp host 192.168.0.66 any eq smtp
access-list in_acl extended permit tcp host 192.168.0.66 any eq pop3
access-list in_acl extended permit tcp any host xxxxxxx eq xxxxxxx
access-list in_acl extended permit tcp any host xxxxxxx eq xxxxxxx
access-list in_acl extended permit icmp any xxxxxxx xxxxxxx
access-list in_acl extended permit ip host xxxxxxx any
access-list in_acl extended permit ip host 192.168.0.253 any
access-list in_acl extended permit ip host 192.168.0.252 any
access-list in_acl extended permit ip host 192.168.0.251 any
access-list in_acl extended permit ip host xxxxxxx any
access-list in_acl extended permit ip host 192.168.0.51 any
access-list in_acl extended permit ip host 192.168.1.240 any
access-list in_acl extended permit ip host 192.168.1.253 any
access-list in_acl extended permit ip host 192.168.1.252 any
access-list in_acl extended permit ip host 192.168.1.251 any
access-list in_acl extended permit ip host 192.168.1.195 any
access-list in_acl extended permit ip host 192.168.1.51 any
access-list in_acl extended permit ip host 192.168.0.205 any
access-list in_acl extended permit tcp any host xxxxxxx eq 3389 »

Добавте в список свою рабочую станцию и будет счастье

oren_yastreb · Отправлено: **20:22, 23-06-2010** | #14

ну мой ip 192.168.1.187
получается мне надо добавить строку?

access-list in_acl extended permit ip host 192.168.1.187 any

Извеняюсь. может и вопрос глупый. но я правда незнаю

kim-aa · Конфигурация компьютера

Да.

Я рекомендую вам прочесть вот это
http://www.infanata.org/2006/06/27/u...ejj_cisco.html

oren_yastreb · Отправлено: **11:53, 24-06-2010** | #16

спасибо большое буду пробовать

kim-aa · Конфигурация компьютера

Цитата oren_yastreb:

ssh xxxxxxxx 255.255.255.255 outside
ssh xxxxxxxx 255.255.255.255 outside
ssh xxxxxxxx 255.255.255.240 outside
ssh xxxxxxxx 255.255.255.252 outside
ssh xxxxxxxx 255.255.255.252 outside »

Если я правильно помню, то тут еще должны определяться сети из которых можно работать по ssh
Ваша сеть должна там быть

oren_yastreb · Отправлено: **17:04, 24-06-2010** | #18

у меня локальная сеть 192.168.1.1-192.0.1.255
чтобы разрешить например для 200 адресса доступ получается так
?
ssh 192.168.1.200 255.255.255.240 outside

kim-aa · Конфигурация компьютера

Цитата oren_yastreb:

у меня локальная сеть 192.168.1.1-192.0.1.255 »

Не может быть такой сети.

2) Думаю, вам всетаки крайне желательно книжечку почитать.
У вас, большие пробелы, в базовых знаниях.
Нельзя в таком состоянии за руль садиться

Если вы хотите выделить только свой хост, а не всю сеть, то:
ssh 192.168.1.200 255.255.255.255 outside

это будет разрешением заходить данному хосту при помощи ssh службы через следующий субинтерфейс

interface Ethernet0.3
vlan 5
nameif outside
security-level 0

И стучаться putty надо на данный IP
Т.е. вероятнее всего это для внешнего управления дырка

Для внутренних интерфейсов ничего нет, вероятнее всего разрешено всем изнутри (не помню просто)
Если не получится, то можно добавить

ssh 192.168.1.200 255.255.255.255 inside