Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 5.00/6: Рейтинг темы: голосов - 6, средняя оценка - 5.00
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 352
1

ASA привязать порт по mac-адресу

09.01.2017, 11:47. Просмотров 1198. Ответов 39
Метки нет (Все метки)

Добрый день.
Как на ASA привязать порт по mac-адресу?
На обычной cisco вроде это было port-security...
Пробовал так:
interface GigabitEthernet0/0
mac-address 2c44.fd69.2a69
nameif IN
security-level 70
ip address 20.1.1.1 255.255.255.0

Но сразу отваливаешься!!! Есть какой то способ фильтрации по mac????
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
09.01.2017, 11:47
Ответы с готовыми решениями:

ASA ACL как привязать стандартный к интерфейсу
Добрый день. Понадобилось написать стандартный ACL для ASA 5515. ACL написал, а вот привязать к...

Как заблокировать компьютер в сети по MAC адресу
Всем привет! Итак, имеется сеть, маршрутизатор NTE-RG-1402G-W, к которому подключено 2 компьютера...

Удаленная печать по IP-адресу или MAC-адресу
Есть IP адрес и MAC адрес одного принтера. Каким образом можно осуществить удаленную печать при...

Привязать модальное окно к ip-адресу пользователя
Здравствуйте, подскажите такой вопрос. Есть модальное окно с формой подписки которое вылазит сразу...

Работа с Wi-Fi по MAC-адресу
Доброго, вот задумался о программке которая бы работала с сетью по мак адресу тока не знаю как т.к...

39
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 352
12.01.2017, 19:54  [ТС] 21
Цитата Сообщение от xeonz Посмотреть сообщение
Есть интернет на интерфейсе ouside, есть локальная сеть и интерфейс DMZ. В локальной сети есть веб сервер с адресом Obj-Int-IP. Организован доступ к серверу с интернета через адрес, выданный провайдером - Obj-Ext-IP, по протоколу HTTPS.
Примерно так нарисовал? с произвольными ip-адресами...
Где: Obj-Ext-IP=10.0.0.1, Obj-Int-IP=20.0.0.2
Поясните строку
C++ (Qt)
1
nat (outside,DMZ) source static any any destination static [Obj_Ext-IP] [Obj-Int-IP] service https_svc https_svc no-proxy-arp
1) source static any any, т.е. можно стучаться с любого ip интернет адреса. Хотя не совсем понятно почему два раза any?
2) destination static [Obj_Ext-IP] [Obj-Int-IP] , т.е. когда прилетает пакет на белый адрес, то транслируется на web-сервер. Так?
3) service https_svc https_svc, происходит проброска порта 443. А почему пишется два раза https_svc?

Синтаксис не совсем понятен, поэтому так дотошно спрашиваю. Заранее благодарен
0
Миниатюры
ASA привязать порт по mac-адресу  
xeonz
645 / 237 / 35
Регистрация: 16.05.2014
Сообщений: 1,888
12.01.2017, 20:15 22
Цитата Сообщение от Техник55 Посмотреть сообщение
Примерно так нарисовал?
Да.

Цитата Сообщение от Техник55 Посмотреть сообщение
1) source static any any, т.е. можно стучаться с любого ip интернет адреса. Хотя не совсем понятно почему два раза any?
Это означает не менять source адрес пакета. То есть "любой" адрес оставить "таким же любым".

Цитата Сообщение от Техник55 Посмотреть сообщение
destination static [Obj_Ext-IP] [Obj-Int-IP] , т.е. когда прилетает пакет на белый адрес, то транслируется на web-сервер. Так?
Поменять destination адрес с Ext-IP на Int-IP. У меня блок внешних адресов от провайдера, я могу разные внешние адреса пробрасывать на разные внутренние адреса. Если у вас единственный адрес, то тут указывается адрес интерфейса асы либо ключевое слово interface.

Цитата Сообщение от Техник55 Посмотреть сообщение
service https_svc https_svc, происходит проброска порта 443. А почему пишется два раза https_svc?
Порт 443 поменять/оставить на тот же 443. Здесь можно, скажем, пробрасывать внешний порт 8080 на внутренний 80.
1
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 352
12.01.2017, 20:45  [ТС] 23
Цитата Сообщение от xeonz Посмотреть сообщение
Это означает не менять source адрес пакета. То есть "любой" адрес оставить "таким же любым".
В этом случае на web-сервере будет виден белый адрес. Но я так понимаю, что мы можем и поменять на какой-нибудь адрес из локальной сети 20.0.0.0/24. Так? Если есть необходимость...
0
xeonz
645 / 237 / 35
Регистрация: 16.05.2014
Сообщений: 1,888
13.01.2017, 08:34 24
Цитата Сообщение от Техник55 Посмотреть сообщение
В этом случае на web-сервере будет виден белый адрес.
Адрес клиента? Да, будет. Обычно наоборот лучше его видеть. Мы же хотим знать адреса клиентов.

Цитата Сообщение от Техник55 Посмотреть сообщение
Но я так понимаю, что мы можем и поменять на какой-нибудь адрес из локальной сети 20.0.0.0/24. Так? Если есть необходимость...
Можем.
1
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 352
13.01.2017, 10:40  [ТС] 25
Цитата Сообщение от xeonz Посмотреть сообщение
Адрес клиента? Да, будет. Обычно наоборот лучше его видеть. Мы же хотим знать адреса клиентов.
Да, согласен. Нам лучше видеть его адрес. Кстати, здесь сначала NAT отрабатывает затем ACL.

Добавлено через 8 минут
Если указываю что клиент будет определенный и он будет транслироваться на ip интерфейса, то все работает!!!
C
1
2
3
4
5
6
7
8
9
10
11
object network DMZ
 host 20.0.0.2
object service PORT-80
 service tcp destination eq www
object service PORT-8080
 service tcp destination eq 8080
object network KKS
 host 10.0.0.2
access-list OUT extended permit tcp any object DMZ eq www
nat (OUT,IN) source static KKS interface destination static interface DMZ service PORT-8080 PORT-80 no-proxy-arp
access-group OUT in interface OUT
А вот если указываю что клиент будет определенный и он будет транслироваться на ip адрес объекта LVS, то не работает!!!
C
1
2
3
object network LVS
 host 20.0.0.3
nat (OUT,IN) source static KKS LVS destination static interface DMZ service PORT-8080 PORT-80 no-proxy-arp
Не понятно!!!?
0
xeonz
645 / 237 / 35
Регистрация: 16.05.2014
Сообщений: 1,888
13.01.2017, 10:56 26
Прогоните packet-trace.
0
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 352
13.01.2017, 11:03  [ТС] 27
Цитата Сообщение от xeonz Посмотреть сообщение
Прогоните packet-trace.
Получается что NAT дропает!!! Только почему...?
C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
ciscoasa(config)# packet-tracer input OUT tcp 10.0.0.2 8080 20.0.0.2 80
 
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
 
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   20.0.0.0        255.255.255.252 IN
 
Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group OUT in interface OUT
access-list OUT extended permit tcp any object DMZ eq www
Additional Information:
 
Phase: 4
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
 
Phase: 5
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
 
Phase: 6
Type: NAT
Subtype: rpf-check
Result: DROP
Config:
nat (OUT,IN) source static KKS LVS destination static interface DMZ service PORT-8080 PORT-80 no-proxy-arp
Additional Information:
 
Result:
input-interface: OUT
input-status: up
input-line-status: up
output-interface: IN
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
0
xeonz
645 / 237 / 35
Регистрация: 16.05.2014
Сообщений: 1,888
13.01.2017, 11:26 28
Неправильный packet trace.

Вот так надо:
packet-tracer input OUT tcp 10.0.0.2 8080 10.0.0.1 80

Строка
nat (OUT,IN) source static KKS LVS destination static interface DMZ service PORT-8080 PORT-80 no-proxy-arp
предназначена для случая, когда коннект идет к интерфейсному адресу на OUT интерфейсе.

Добавлено через 5 минут
ну и проверку соответственно тоже надо делать на адрес асы.
0
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 352
13.01.2017, 11:32  [ТС] 29
Цитата Сообщение от xeonz Посмотреть сообщение
Неправильный packet trace.
Да, вы правы!!! ну я iperf3 правильно запускал, как вы и написали!!!
Все равно дропается на ACL
C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
ciscoasa(config)#  packet-tracer input OUT tcp 10.0.0.2 8080 10.0.0.1 80
 
Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   10.0.0.1        255.255.255.255 identity
 
Phase: 2
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
 
Phase: 3
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:
 
Result:
input-interface: OUT
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
0
xeonz
645 / 237 / 35
Регистрация: 16.05.2014
Сообщений: 1,888
13.01.2017, 11:50 30
В ACL поменяйте порт на 8080. Этот тип ната вроде после ACL работает.
По крайней мере поиграйтесь как с портом, так и с dest адресом. Попробуйте для начала сделать два правила, в одном внутренние адреса и порт, в другом интерфейсные.
1
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 352
13.01.2017, 12:59  [ТС] 31
Цитата Сообщение от xeonz Посмотреть сообщение
Попробуйте для начала сделать два правила, в одном внутренние адреса и порт, в другом интерфейсные.
Не совсем понял....

Сделал вот такой ACL:
C
1
access-list OUT extended permit tcp any any eq 8080
Не помогло!!!

Добавлено через 45 минут
Интересный факт, сделал изначально, как и было:
C
1
2
access-list OUT extended permit tcp any object DMZ eq www
nat (OUT,IN) source static KKS interface destination static interface DMZ service PORT-8080 PORT-80 no-proxy-arp
По iperf все ок!!!
А вот по packet-tracer input OUT tcp 10.0.0.2 8080 10.0.0.1 80
C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   10.0.0.1        255.255.255.255 identity
 
Phase: 2
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
 
Phase: 3
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:
 
Result:
input-interface: OUT
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
Причем:
C
1
2
3
4
5
6
ciscoasa(config)# sh access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list OUT; 1 elements; name hash: 0xcd7d0798
access-list OUT line 1 extended permit tcp any object DMZ eq www (hitcnt=4) 0xc89d9494
  access-list OUT line 1 extended permit tcp any host 20.0.0.2 eq www (hitcnt=4) 0xc89d9494
Т.е. видно что ACL отрабатывает правильно...
Наверно неправильно packet-tracer запускаю...?!
0
xeonz
645 / 237 / 35
Регистрация: 16.05.2014
Сообщений: 1,888
13.01.2017, 14:01 32
А как вы запускаете iperf, что у вас все работает?

Добавлено через 42 секунды
Цитата Сообщение от Техник55 Посмотреть сообщение
Сделал вот такой ACL:
C
Выделить код
1
access-list OUT extended permit tcp any any eq 8080
Не помогло!!!
Предлагаю на время тестов вообще сделать permit ip any any, чтобы понять, в ACL ли вообще проблема.
0
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 352
13.01.2017, 18:19  [ТС] 33
Цитата Сообщение от xeonz Посмотреть сообщение
А как вы запускаете iperf, что у вас все работает?
Да, работает.
Вот то что с сервера:
0
Миниатюры
ASA привязать порт по mac-адресу  
xeonz
645 / 237 / 35
Регистрация: 16.05.2014
Сообщений: 1,888
13.01.2017, 18:53 34
Покажите строку запуска клиента.
0
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 352
14.01.2017, 15:17  [ТС] 35
Цитата Сообщение от xeonz Посмотреть сообщение
Покажите строку запуска клиента
Вот код:
C
1
2
access-list OUT extended permit tcp any object DMZ eq www
nat (OUT,IN) source static KKS interface destination static interface DMZ service PORT-8080 PORT-80 no-proxy-arp
Вот iperf

Если так:
C
1
nat (OUT,IN) source static KKS LVS destination static interface DMZ service PORT-8080 PORT-80 no-proxy-arp
Тогда вообще не работает...
0
Миниатюры
ASA привязать порт по mac-адресу   ASA привязать порт по mac-адресу   ASA привязать порт по mac-адресу  

xeonz
645 / 237 / 35
Регистрация: 16.05.2014
Сообщений: 1,888
14.01.2017, 18:28 36
Уберите пока вообще ACL. Сначала отладьте нат. Когда нат без ACL работает, тогда уже крутите ACL.

В строке
nat (OUT,IN) source static KKS LVS destination static interface DMZ service PORT-8080 PORT-80 no-proxy-arp
попробуйте убрать no-proxy-arp. Так как вы транслируете source адрес не в адрес интерфейса, то требуется как раз функционал proxy-arp. Иначе да, работать не должно.
1
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 352
15.01.2017, 10:37  [ТС] 37
Цитата Сообщение от xeonz Посмотреть сообщение
В строке
nat (OUT,IN) source static KKS LVS destination static interface DMZ service PORT-8080 PORT-80 no-proxy-arp
попробуйте убрать no-proxy-arp. Так как вы транслируете source адрес не в адрес интерфейса, то требуется как раз функционал proxy-arp. Иначе да, работать не должно.
1) ACL - работает правильно. Пробовал убирать, вообще переставал бегать трафик!!! Это и логично, без ACL трафик с меньшего security-level на больший не пойдет. Или вы имели ввиду в ACL прописать any any?!!!
2) Но это неважно, дело было конечно в no-proxy-arp, как убрал все пошло. Действительно, здесь мы конкретно подменяем source адрес источника на определенный ip.
3) Но packet trace также не работает, что-то неправильно делаю, наверно. Iperf все отрабатывает нормально...
C
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
ciscoasa(config)# packet-tracer input Out tcp 10.0.0.2 8080 10.0.0.1 80
 
Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   10.0.0.1        255.255.255.255 identity
 
Phase: 2
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
 
Phase: 3
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:
 
Result:
input-interface: OUT
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
 
ciscoasa(config)#
0
xeonz
645 / 237 / 35
Регистрация: 16.05.2014
Сообщений: 1,888
15.01.2017, 11:31 38
Цитата Сообщение от Техник55 Посмотреть сообщение
Или вы имели ввиду в ACL прописать any any?!!!
Да.

Цитата Сообщение от Техник55 Посмотреть сообщение
Но packet trace также не работает,
Странно. Ни разу не сталкивался, чтобы packet-trace не соответствовал реальной работе. Попробуйте все таки acl permit any any ради интереса.
0
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 352
15.01.2017, 12:18  [ТС] 39
Цитата Сообщение от xeonz Посмотреть сообщение
Попробуйте все таки acl permit any any ради интереса
А я сразу и пробовал, но на ACL пишет Drop
0
xeonz
645 / 237 / 35
Регистрация: 16.05.2014
Сообщений: 1,888
15.01.2017, 14:08 40
Вот это уже странно.
0
15.01.2017, 14:08
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
15.01.2017, 14:08

Узнать IP по MAC адресу
Есть мак адрес устройства. Необходимо связаться с этим устройством когда IP динамический. Знаю есть...

Подключение по mac-адресу
Как настроить микротику чтобы была доступ не у всех которые найдет пароль от wifi. Чтобы они могли...

Подключение по mac-адресу к SQL
Здравствуйте уважаемые, скажите пожалуйста где в настройках безопасности sql-server2008r2 можно...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
40
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru