Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 5.00/6: Рейтинг темы: голосов - 6, средняя оценка - 5.00
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
1

ASA привязать порт по mac-адресу

09.01.2017, 11:47. Просмотров 1158. Ответов 39
Метки нет (Все метки)

Добрый день.
Как на ASA привязать порт по mac-адресу?
На обычной cisco вроде это было port-security...
Пробовал так:
interface GigabitEthernet0/0
mac-address 2c44.fd69.2a69
nameif IN
security-level 70
ip address 20.1.1.1 255.255.255.0

Но сразу отваливаешься!!! Есть какой то способ фильтрации по mac????
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
09.01.2017, 11:47
Ответы с готовыми решениями:

ASA ACL как привязать стандартный к интерфейсу
Добрый день. Понадобилось написать стандартный ACL для ASA 5515. ACL написал, а вот привязать к...

Как заблокировать компьютер в сети по MAC адресу
Всем привет! Итак, имеется сеть, маршрутизатор NTE-RG-1402G-W, к которому подключено 2 компьютера...

Удаленная печать по IP-адресу или MAC-адресу
Есть IP адрес и MAC адрес одного принтера. Каким образом можно осуществить удаленную печать при...

Привязать модальное окно к ip-адресу пользователя
Здравствуйте, подскажите такой вопрос. Есть модальное окно с формой подписки которое вылазит сразу...

Работа с Wi-Fi по MAC-адресу
Доброго, вот задумался о программке которая бы работала с сетью по мак адресу тока не знаю как т.к...

39
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
09.01.2017, 16:09 2
Фильтрация по мак адресам на асе вроде бы работает только в transparent режиме.
1
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
09.01.2017, 20:46  [ТС] 3
Цитата Сообщение от xeonz Посмотреть сообщение
Фильтрация по мак адресам на асе вроде бы работает только в transparent режиме.
Да похоже так и есть!!!
В доках порылся - так и написано...
Попутный вопрос (немного не по теме): Что в первую очередь отрабатывает NAT или ACL???
Искал ответ на разных сайтах, где пишут одно, где-то по другому!!!????
0
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
10.01.2017, 08:23 4
Зависит от версии ASA OS. В старых сначала ACL, в новых сначала NAT.
0
insect_87
Модератор
Эксперт по компьютерным сетям
4843 / 3926 / 803
Регистрация: 25.12.2012
Сообщений: 16,687
10.01.2017, 08:28 5
обычно так:
input access list-NAT-output access list
правда по ASA не скажу точно
0
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
10.01.2017, 09:53 6
Скорее всего ему нужно понять, какие адреса писать в ACL при работе НАТ. Начиная с какой то версии в 8й ветке и во всей 9й ветке в ACL нужно писать уже оттранслированные адреса для input ACL (c output просто не работал).
0
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
10.01.2017, 10:11  [ТС] 7
Цитата Сообщение от xeonz Посмотреть сообщение
Скорее всего ему нужно понять, какие адреса писать в ACL при работе НАТ
Да именно так. У меня версия 8.4.
Вроде как старыми считают до версии 8.3, новые это 8.4
0
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
10.01.2017, 11:27  [ТС] 8
Что то запутался куда ставить ACL. Вроде сначала nat, потом добавляю ACL (адрес указываю уже оттранслированный) на внутренний интерфейс и ничего не идет!!! Или ACL нужно на исходящий интерфейс вешать?!
вот допустим примитивная схема:
ASA привязать порт по mac-адресу

Вот код:
interface GigabitEthernet0/0
nameif OUT
security-level 0
ip address 10.0.0.1 255.255.255.252
!
interface GigabitEthernet0/1
nameif IN
security-level 100
ip address 20.0.0.1 255.255.255.252

object network DMZ
subnet 20.0.0.0 255.255.255.252
access-list IN extended permit tcp host 10.0.0.1 any eq 450

object network DMZ
nat (IN,OUT) dynamic interface
access-group IN in interface IN
0
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
10.01.2017, 11:37  [ТС] 9
Ребята проверьте, наверно так надо было:
access-group IN out interface OUT
0
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
10.01.2017, 15:36 10
А как проверяете то?
0
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
10.01.2017, 18:57  [ТС] 11
Цитата Сообщение от xeonz Посмотреть сообщение
А как проверяете то?
Проверяю утилитой iperf3
0
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
10.01.2017, 21:20 12
А почему порт 450? Вы Iperf запускаете на этом порту?

Добавлено через 42 секунды
На рисунке направление подключения другое, не как разрешено в ACL. Где у вас сервер iperf?
1
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
11.01.2017, 09:08  [ТС] 13
Цитата Сообщение от xeonz Посмотреть сообщение
А почему порт 450? Вы Iperf запускаете на этом порту?
450 просто произвольный порт взял. Да, iperf по этому порту запускаю.
Iperf server стоит на ПК1, а клиент на ПК2.

Добавлено через 5 минут
Цитата Сообщение от xeonz Посмотреть сообщение
На рисунке направление подключения другое, не как разрешено в ACL.
Хочется понять где ошибаюсь:
1) Сначала отрабатывает NAT, после трансляции адреса 20.0.0.2 меняется на 10.0.0.1. Так?
2) Потом уже оттранслированный адрес используется в ACL. Так?
3) Куда ACL дальше прикрутить?

Добавлено через 2 часа 15 минут
Еще правда с тем не разобрался, но снова кое-что не получается:
interface GigabitEthernet0/0
nameif OUT
security-level 0
ip address 10.0.0.1 255.255.255.252
!
interface GigabitEthernet0/1
nameif IN
security-level 100
ip address 20.0.0.1 255.255.255.252
object network DMZ
host 20.0.0.2
object network KKS
host 10.0.0.100
object network DMZ
nat (IN,OUT) static KKS service tcp 8080 www


Нат работает только если не указываю порты, вот так:
object network DMZ
nat (IN,OUT) static KKS service
Как только добавляю порты, так сразу нат не работает, трансляции не происходит:
object network DMZ
nat (IN,OUT) static KKS service tcp 8080 www
0
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
11.01.2017, 09:24 14
Цитата Сообщение от Техник55 Посмотреть сообщение
Вот код:
interface GigabitEthernet0/0
nameif OUT
security-level 0
ip address 10.0.0.1 255.255.255.252
!
interface GigabitEthernet0/1
nameif IN
security-level 100
ip address 20.0.0.1 255.255.255.252
object network DMZ
subnet 20.0.0.0 255.255.255.252
access-list IN extended permit tcp host 10.0.0.1 any eq 450
object network DMZ
nat (IN,OUT) dynamic interface
access-group IN in interface IN
сделайте вот такой acl:
C++
1
2
3
access-list IN extended permit tcp host 20.0.0.2 any eq 450
 
access-group IN in interface IN
Это для случая:
Цитата Сообщение от Техник55 Посмотреть сообщение
450 просто произвольный порт взял. Да, iperf по этому порту запускаю.
Iperf server стоит на ПК1, а клиент на ПК2.
Добавлено через 5 минут
У асы НАТ выполняется несколько раз, в зависимости от типа.
https://learningnetwork.cisco.com/se...0/Untitled.bmp
1
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
11.01.2017, 10:58  [ТС] 15
Цитата Сообщение от xeonz Посмотреть сообщение
сделайте вот такой acl:
Да, спасибо. Так работает. Но почему мы указываем 20.0.0.2, ведь сначала NAT работает???


Вопрос снимается, ведь у нас source NAT!!! Табличка полезная, спасибо.

Добавлено через 17 минут
xeonz, а по второй задачке не подскажите? В чем ошибаюсь? Притом делаю вроде как в примерах, но не работает...
0
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
12.01.2017, 08:17  [ТС] 16
Вот пример с cisco.com. Почему то непонятно направление трафика? И еще, Undo Translation - это что имеют ввиду?!
0
Миниатюры
ASA привязать порт по mac-адресу  
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
12.01.2017, 11:50 17
Как я понимаю, cisco под undo обозначает трансляцию в обратном направлении. То есть в конфиге мы пишем направление как nat (inside,outside), а трафик инициируется со стороны outside. Но может я и ошибаюсь.

Данная штука у меня работает вот в такой команде:
nat (outside,DMZ) source static any any destination static [Obj_Ext-IP] [Obj-Int-IP] service https_svc https_svc no-proxy-arp

Данная команда организовывает трансляцию снаружи (с интернета, со стороны outside, запрос идет на белый адрес Obj-Ext-IP) во внутренний адрес Obj-Int-IP (который находится за интерфейсом DMZ) по порту https/443.

Ну и не забыть правило firewall:
access-list outside_access_in extended permit tcp any host [Obj-Int-IP] eq https
1
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
12.01.2017, 13:32  [ТС] 18
Цитата Сообщение от xeonz Посмотреть сообщение
Данная штука у меня работает вот в такой команде:
nat (outside,DMZ) source static any any destination static [Obj_Ext-IP] [Obj-Int-IP] service https_svc https_svc no-proxy-arp
Я так понимаю, что у Вас сдесь организован глобальный nat - twice nat??!!!

Добавлено через 1 час 27 минут
Цитата Сообщение от xeonz Посмотреть сообщение
анная штука у меня работает вот в такой команде:
nat (outside,DMZ) source static any any destination static [Obj_Ext-IP] [Obj-Int-IP] service https_svc https_svc no-proxy-arp
Данная команда организовывает трансляцию снаружи (с интернета, со стороны outside, запрос идет на белый адрес Obj-Ext-IP) во внутренний адрес Obj-Int-IP (который находится за интерфейсом DMZ) по порту https/443.
Можете схему с ip накидать, а то что не совсем понял что у вас там реализовано. Спасибо...
0
xeonz
643 / 235 / 35
Регистрация: 16.05.2014
Сообщений: 1,875
12.01.2017, 16:59 19
Есть интернет на интерфейсе ouside, есть локальная сеть и интерфейс DMZ. В локальной сети есть веб сервер с адресом Obj-Int-IP. Организован доступ к серверу с интернета через адрес, выданный провайдером - Obj-Ext-IP, по протоколу HTTPS.

Добавлено через 1 минуту
Цитата Сообщение от Техник55 Посмотреть сообщение
Я так понимаю, что у Вас сдесь организован глобальный nat - twice nat??!!!
Не знаю, что вы называете глобальным натом. В асе есть два типа ната - объектный и на основе ручных правил. Вот это правило из второго типа.
1
Техник55
7 / 7 / 1
Регистрация: 11.06.2012
Сообщений: 351
12.01.2017, 19:31  [ТС] 20
Цитата Сообщение от xeonz Посмотреть сообщение
на основе ручных правил
Ну да это и имел ввиду...
0
12.01.2017, 19:31
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
12.01.2017, 19:31

Узнать IP по MAC адресу
Есть мак адрес устройства. Необходимо связаться с этим устройством когда IP динамический. Знаю есть...

Подключение по mac-адресу
Как настроить микротику чтобы была доступ не у всех которые найдет пароль от wifi. Чтобы они могли...

Подключение по mac-адресу к SQL
Здравствуйте уважаемые, скажите пожалуйста где в настройках безопасности sql-server2008r2 можно...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru