Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.72/18: Рейтинг темы: голосов - 18, средняя оценка - 4.72
fijirald
0 / 0 / 0
Регистрация: 23.04.2013
Сообщений: 5
1

Удалённый доступ по RDP через Cisco ASA

25.04.2013, 12:48. Просмотров 3624. Ответов 10

Здравствуйте!

Помогите, пожалуйста, с брандмауэром. Человек, который им занимался, в отпуске, начальство дало задание, а коллега не выходит на связь.

Нужно дать доступ одному внешнему ip до нашего rdp сервера. Много гуглил, но похожее на то, что вижу на нашей циске, не видел. С unix опыт небольшой. К сетевому оборудованию Cisco коннектился впервые.

Я так понял на ASA'х нет как такогого ACL, а настройка происходит в духе iptables. Чтобы посмотреть правила, из того что нашел, больше всего похоже на правду ввод команд
enable
show configuration
после чего встроенный пейджер выводит длинную простыню.

Простыня состоит из блоков записей следующего вида
names
name 111.111.111.0 krasnodar description krasnodar
name 222.222.222.0 vologda description vologda

!
interface Ethernet0/0
nameif outside
security-level 0
ip address 111.122.133.123 255.255.255.248
!
interface Ethernet0/3.3
vlan 3
nameif dmz_terminal_vlan_3
security-level 51
ip address 192.168.111.254 255.255.255.248

boot system disk0:/asa148-k8.bin

object service Terminal
service tcp destination eq 3389
object network 192.168.111.252
host 192.168.111.252
description TerminalServer

object network krasnodar
subnet 111.111.111.0 255.255.254.0
description krasnodar
object network vologda
subnet 222.222.222.0 255.255.254.0
description vologda
object-group service permit_TCP tcp
port-object eq 3389

object-group network FILIALS_RDP_USERS
network-object object krasnodar
network-object object vologda

access-list inside remark Open RDP for Some_DMZ and Terminal_DMZ
access-list inside extended permit tcp any object-group DM_INLINE_NETWORK_1 eq 3389
access-list inside remark Local to Any
access-list inside extended permit ip any any
access-list inside_nat_outbound extended permit ip object Shluz_Inside any
access-list inet remark Open Filial on RDP Service
access-list inet extended permit object Terminal object-group FILIALS_RDP_USERS object-group Terminal_DMZ_Vlan3
access-list inet remark Open TCP Service
access-list inet extended permit tcp any object Shluz_Inside object-group permit_TCP
access-list inet extended deny ip any any

nat (outside,dmz_terminal_vlan_3) source static FILIALS_RDP_USERS FILIALS_RDP_USERS destination static 111.122.133.123 192.168.111.252 service Terminal Terminal description RDP Filial to Terminal
nat (inside,outside) source static Shluz_Inside 111.122.133.123 description NAT Local on Internet

!
object network Shluz_Inside
nat (inside,outside) static 111.122.133.123
access-group inet in interface outside
access-group inside in interface inside
access-group dmz_terminal_vlan_3_access_in in interface dmz_terminal_vlan_3
route outside 0.0.0.0 0.0.0.0 111.122.133.123 1


Пустые строки между блоками я расставил для повышения читабельности. Копировал то, что мне показалось относящимся к делу.

Насколько я понял, чтобы внести новое правило, нужно выполнить команду "config t", после чего любая введенная строка с нажатым после нее энтером будет считаться новым правилом. Но сразу ли оно применяется, или нужно что-то сделать дополнительно. У меня после добавления экспериментального правила не появилось изменений, и в простыне show configuration я ничего нового не наблюдаю.

И еще, похоже что ip пробрасывается в строке
name 111.111.111.0 krasnodar description krasnodar
Получается, что пробрасывается подсеть, а не адрес?
0
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
25.04.2013, 12:48
Ответы с готовыми решениями:

Запрет на доступ к определенным сайтам. Cisco ASA?
Добрый день, у нас в РФ приняли закон, обязывающий интернет провайдеров...

Как дать доступ в интернет (cisco asa).
Добрый день, Вопрос по Cisco ASA 55XX. Только сильно не пинайте, новичок....

Доступ в DMZ на ASA 5505 (в Cisco Packet Tracer)
Всем доброго времени суток! Всё вроде правильно настроено, но почему то из...

Cisco ASA 5505 подключение через IE
Есть проблема с настройкой Cisco ASA 5505. Ping на адрес 192.168.1.1 с...

Не пингуется сервер через VPN на Cisco ASA
Ситуация такая. Есть две сети, между которыми настроен VPN через Cisco ASA....

10
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
25.04.2013, 13:31 2
Цитата Сообщение от fijirald Посмотреть сообщение
Нужно дать доступ одному внешнему ip до нашего rdp сервера. Много гуглил, но похожее на то, что вижу на нашей циске, не видел. С unix опыт небольшой. К сетевому оборудованию Cisco коннектился впервые.
нужно смаршрутизировать этот адрес (в контексте внутренней сети или в сети на внешних адресах) или транслировать (интернет --> внутренняя сеть)?
Цитата Сообщение от fijirald Посмотреть сообщение
Я так понял на ASA'х нет как такогого ACL, а настройка происходит в духе iptables. Чтобы посмотреть правила, из того что нашел, больше всего похоже на правду ввод команд
есть в ASA'х как таковой ACL
Цитата Сообщение от fijirald Посмотреть сообщение
Пустые строки между блоками я расставил для повышения читабельности. Копировал то, что мне показалось относящимся к делу.
лучше бы Вы все копировали, и уж конечно под [CUT]
Цитата Сообщение от fijirald Посмотреть сообщение
Насколько я понял, чтобы внести новое правило, нужно выполнить команду "config t", после чего любая введенная строка с нажатым после нее энтером будет считаться новым правилом.
да, сразу
Цитата Сообщение от fijirald Посмотреть сообщение
Но сразу ли оно применяется, или нужно что-то сделать дополнительно.
ничего дополнительно делать не нужно
Цитата Сообщение от fijirald Посмотреть сообщение
У меня после добавления экспериментального правила не появилось изменений, и в простыне show configuration я ничего нового не наблюдаю.
ну я даже прокомментировать это не могу))
Цитата Сообщение от fijirald Посмотреть сообщение
И еще, похоже что ip пробрасывается в строке
name 111.111.111.0 krasnodar description krasnodar
не похоже
0
fijirald
0 / 0 / 0
Регистрация: 23.04.2013
Сообщений: 5
25.04.2013, 13:59  [ТС] 3
Цитата Сообщение от Jabbson Посмотреть сообщение
нужно смаршрутизировать этот адрес (в контексте внутренней сети или в сети на внешних адресах) или транслировать (интернет --> внутренняя сеть)?
А по тому, что я привел, опытному глазу видно как это делается для уже проброшенных адресов?
Подскажите, пожалуйста что можно попробовать или посмотреть, я в тупике.

P.s. Цисковский пейджер позволяет просматривать предыдущие страницы или только последующие? И предоставляет ли он возможность поиска?

Добавлено через 21 минуту
А где нужно искать результат своих действий?

Допустим я сделал
ciscoasa(config)# name 123.123.123.0 omsk description omsk
ciscoasa(config)# exit
ciscoasa# show configuration

То моя "name 123.123.123.0 omsk description omsk" должна появиться в конце блока с другими name?

Попробовал, но в выводе ее не нашел.
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
25.04.2013, 14:09 4
Цитата Сообщение от fijirald Посмотреть сообщение
А по тому, что я привел, опытному глазу видно как это делается для уже проброшенных адресов?
опытный глаз хочет видеть полный конфиг
Цитата Сообщение от fijirald Посмотреть сообщение
Цисковский пейджер...
прошу прощения?..
Цитата Сообщение от fijirald Посмотреть сообщение
То моя "name 123.123.123.0 omsk description omsk" должна появиться в конце блока с другими name?
Прежде чем мы перейдем к тому, где же результат, а можно спросить, что Вы делаете этой командой?
0
fijirald
0 / 0 / 0
Регистрация: 23.04.2013
Сообщений: 5
25.04.2013, 14:22  [ТС] 5
Цитата Сообщение от Jabbson Посмотреть сообщение
Сообщение от fijirald
Цисковский пейджер...
прошу прощения?..
результат команды show configuration выводится не весь сразу целиком, а разбивается на страницы по типу "| more". Извините, если не точно изъяснился.

Цитата Сообщение от Jabbson Посмотреть сообщение
Прежде чем мы перейдем к тому, где же результат, а можно спросить, что Вы делаете этой командой?
Цитата Сообщение от fijirald Посмотреть сообщение
Насколько я понял, чтобы внести новое правило, нужно выполнить команду "config t", после чего любая введенная строка с нажатым после нее энтером будет считаться новым правилом.
Цитата Сообщение от Jabbson Посмотреть сообщение
да, сразу
возможно, я что-то не так понял

Цитата Сообщение от Jabbson Посмотреть сообщение
опытный глаз хочет видеть полный конфиг
боюсь, там много информации, которую мне нельзя выкладывать
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
25.04.2013, 15:10 6
можно заменить пароли и внешние ip.

Искать можно. С помощью пайпа с последующими модификаторами begin или include (например, sh run | include name) или символа / после первой страницы вывода.
0
fijirald
0 / 0 / 0
Регистрация: 23.04.2013
Сообщений: 5
25.04.2013, 16:16  [ТС] 7
Разобрался почему не было видно моих строк конфигурации, их можно увидеть с помощью show running-config. Но останется ли это все после ребута? Похоже нужно как-то загрузить на флешку в порте.
А чтобы удалить строки из конфигурации нет простой команды?

Добавлено через 11 минут
Я бы попробовал внести строку типа
access-list inet line 4 extended permit tcp 111.122.133.0 255.255.255.0 host 192.168.111.250 eq 3389 (hitcnt=0) 0xef040a56
но почему здесь не указываются точные ip адреса? здесь прокидывается вся подсеть?

И поиск, кстати, не работает. Возможно старая ОС
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
25.04.2013, 16:21 8
Цитата Сообщение от fijirald Посмотреть сообщение
их можно увидеть с помощью show running-config
а Вы с помощью какой раньше смотрели?
Цитата Сообщение от fijirald Посмотреть сообщение
Но останется ли это все после ребута? Похоже нужно как-то загрузить на флешку в порте.
если сохранить конфиг (write или copy run start) - останутся. какую еще флешку в порте?
Цитата Сообщение от fijirald Посмотреть сообщение
А чтобы удалить строки из конфигурации нет простой команды?
есть, добавляете no перед командой.
Цитата Сообщение от fijirald Посмотреть сообщение
Я бы попробовал внести строку типа
access-list inet line 4 extended permit tcp 111.122.133.0 255.255.255.0 host 192.168.111.250 eq 3389 (hitcnt=0) 0xef040a56
но почему здесь не указываются точные ip адреса? здесь прокидывается вся подсеть?
даже если Вы очень попросите асу принять эту строку - ничего не получится, вводить нужно в формате, как в выводе sh run access-list
Цитата Сообщение от fijirald Посмотреть сообщение
И поиск, кстати, не работает. Возможно старая ОС
не верю
0
fijirald
0 / 0 / 0
Регистрация: 23.04.2013
Сообщений: 5
25.04.2013, 16:33  [ТС] 9
Цитата Сообщение от Jabbson Посмотреть сообщение
какую еще флешку в порте?
Я хотел сказать, флешку в слоте для флеш карты. аsa ведь с нее загружает конфиг. для меня это было не очевидно, поэтому я уточнил.

и все же
Цитата Сообщение от Jabbson Посмотреть сообщение
access-list inet line 4 extended permit tcp 111.122.133.0 255.255.255.0 host 192.168.111.250 eq 3389 (hitcnt=0) 0xef040a56
111.122.133.0
почему здесь не указывается точный ip адрес? здесь прокидывается вся подсеть?
0
MonaxGT
Эксперт по компьютерным сетям
275 / 275 / 25
Регистрация: 02.08.2012
Сообщений: 1,219
25.04.2013, 16:42 10
Почему почему, потому что Ваш администратор так решил)
МОжно и конкретный хост указать. Надо только подкрутить маски.
0
Jabbson
Эксперт по компьютерным сетям
3368 / 2439 / 751
Регистрация: 03.11.2009
Сообщений: 7,773
Записей в блоге: 3
25.04.2013, 16:44 11
Цитата Сообщение от fijirald Посмотреть сообщение
почему здесь не указывается точный ip адрес? здесь прокидывается вся подсеть?
да, вся /24
0
25.04.2013, 16:44
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
25.04.2013, 16:44

Нет доступа до Cisco ASA через ASDM
Есть две CISCO ASA 5505, отличаются только версией ПО (ASA Version 7.2(4) и ASA...

Пинг Cisco ASA через VPN-туннель
Коллеги, доброго дня! В филиале надо было настроить Cisco ASA 5505, поднять...

Не работает удаленное подключение через Cisco VPN + RDP
Сначала подключаюсь к VPN, успешно. Затем пытаюсь подключиться по RDP к...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
11
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru