https://slinkov.ru/openforum/vsluhforumID6/22906.html Доброго времени суток!<br>Никак не получается запретить доступ в интернет определенным хостам.<br>Имеем csco asa 5505, настроил 2 интерфейса:<br>outside xx.xx.xx.xx<br>inside 192.168.2.1<br><br>Конфиг пустой никаких access-list, access-group нет, но ICMP т.е пинг с любой машины не проходил, а в интернет ходят все у кого прописан DNS и geatway на csco.<br>Пишу правило access-list 1 extended permit icmp any any, вешаю его на access-group 1 in interface outside и пинг начинает работать с любой машины.<br>Еду дальше пытаюсь запретить хосту доступ в интернет пишу access-list 2 extended deny tcp host 192.168.2.10 any и добавляю его в группу 2 access-group 2 out interface outside, реузльтат инет пропадает у всех. Пробовал сперва добавить правило permit any any толку никакого полый игнор.<br>Так же пробовал повесить запрет на доступ из интерфейса inside путем внесения access-list 2 extended deny tcp host 192.168.2.10 interface inside и access-group 2 out interface inside, снова либо у всех пропадает либо у всех все есть.<br>Что за черто https://slinkov.ru/openforum/vsluhforumID6/22906.html#20 Thu, 21 Jul 2011 13:14:03 GMT Всем спасибо за участие, в принцыпе понял что из за моего самописного правила про icmp отключалось почему то все (только после добавления любого другого правила) странное поведение конечно.<br><br><br><br> https://slinkov.ru/openforum/vsluhforumID6/22906.html#19 Thu, 21 Jul 2011 13:11:35 GMT &gt; есть usb, как флешку то примонтировать на вскидку никто не знает?) <br><br>Не работает там порт. Бестолку втыкать фшэки. <br><br><br> https://slinkov.ru/openforum/vsluhforumID6/22906.html#18 Thu, 21 Jul 2011 12:18:27 GMT &gt;&gt; Перепробовали все - кроме того что нужно. Вешайте правило на inside интерфейс, <br>&gt;&gt; направление in.<br>&gt;&gt; Если запутались в направлениях делайте так - представьте себя внутри коробки все <br>&gt;&gt; что в неё затекает это in все что вытекает out. :) <br>&gt; Вешаю access-list 2 extended deny tcp host 192.168.2.10 any <br>&gt; access-group 2 in interface inside <br>&gt; И инет пропадает у всех.<br><br>access-list 2 extended deny tcp host 192.168.2.10 any<br>access-list 2 extended permit ip any any<br>access-group 2 in interface inside<br><br>При желании второе правило можно более точно прописать, например:<br>access-list 2 extended permit ip 192.168.2.0 255.255.255.0 any<br> https://slinkov.ru/openforum/vsluhforumID6/22906.html#17 Thu, 21 Jul 2011 11:07:38 GMT вот это тема за час разрослась :)<br> https://slinkov.ru/openforum/vsluhforumID6/22906.html#16 Thu, 21 Jul 2011 10:52:20 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; no threat-detection statistics tcp-intercept <br>&gt;&gt;&gt; !<br>&gt;&gt;&gt; !<br>&gt;&gt;&gt; prompt hostname context <br>&gt;&gt;&gt; Cryptochecksum:357d5f6f94750c6c6909d8c95fa87e67 <br>&gt;&gt;&gt; : end <br>&gt; Подтвреждаю работает для этого хоста, но теперь пинг на внешку не работает <br>&gt; нигде. Добавление туда же access-list inside_access_in extended permit icmp any any <br>&gt; не дало эффекта. (и все таки еще на этой сраной штуке <br>&gt; есть usb, как флешку то примонтировать на вскидку никто не знает?) <br><br>class-map inspection_default <br> match default-inspection-traffic <br>policy-map global_policy <br> class inspection_default <br> inspect dns maximum-length 512 <br> inspect ftp <br> inspect h323 h225 <br> inspect h323 ras <br> inspect smtp <br> inspect sip <br> inspect icmp<br>service-policy global_policy global<br><br> https://slinkov.ru/openforum/vsluhforumID6/22906.html#15 Thu, 21 Jul 2011 10:31:00 GMT &gt;[оверквотинг удален]<br>&gt;&gt; dhcpd auto_config outside <br>&gt;&gt; !<br>&gt;&gt; threat-detection basic-threat <br>&gt;&gt; threat-detection statistics access-list <br>&gt;&gt; no threat-detection statistics tcp-intercept <br>&gt;&gt; !<br>&gt;&gt; !<br>&gt;&gt; prompt hostname context <br>&gt;&gt; Cryptochecksum:357d5f6f94750c6c6909d8c95fa87e67 <br>&gt;&gt; : end <br><br>Подтвреждаю работает для этого хоста, но теперь пинг на внешку не работает нигде. Добавление туда же access-list inside_access_in extended permit icmp any any не дало эффекта. (и все таки еще на этой сраной штуке есть usb, как флешку то примонтировать на вскидку никто не знает?)<br> https://slinkov.ru/openforum/vsluhforumID6/22906.html#14 Thu, 21 Jul 2011 10:15:56 GMT попробуйте так<br><br>&gt;[оверквотинг удален]<br>&gt; interface Ethernet0/4 <br>&gt; !<br>&gt; interface Ethernet0/5 <br>&gt; !<br>&gt; interface Ethernet0/6 <br>&gt; !<br>&gt; interface Ethernet0/7 <br>&gt; !<br>&gt; ftp mode passive <br>&gt; access-list 1 extended permit icmp any any <br><br>no access-list 1 extended permit icmp any any <br>!запрещаем хосту 192.168.2.222 куда угодно<br>access-list inside_access_in extended deny ip host 192.168.2.222 any<br>!разрешаем остальным<br>access-list inside_access_in extended permit ip any any<br><br>&gt;[оверквотинг удален]<br>&gt; logging asdm informational <br>&gt; mtu inside 1500 <br>&gt; mtu outside 1500 <br>&gt; icmp unreachable rate-limit 1 burst-size 1 <br>&gt; no asdm history enable <br>&gt; arp timeout 14400 <br>&gt; global (outside) 1 interface <br>&gt; nat (inside) 1 192.168.2.0 255.255.255.0 <br>&gt; nat (inside) 1 0.0.0.0 0.0.0.0 <br>&gt; access-group 1 in interface outside <br><br>no access-group 1 in interface outside <br>access-group inside_access_in in interface inside<br><br>&gt;[оверквотинг удален]<br>&gt; dhcpd auto_config outside <br>&gt; !<br>&gt; threat-detection basic-threat <br>&gt; threat-d https://slinkov.ru/openforum/vsluhforumID6/22906.html#13 Thu, 21 Jul 2011 09:55:35 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Другой вариант с access-list 2 extended deny tcp host 192.168.2.10 interface outside <br>&gt;&gt;&gt; тоже закрывает доступ всем хостам.<br>&gt;&gt;&gt; Еще такая ремарка все делаю в running конфиге и все применяется сразу <br>&gt;&gt;&gt; же, может надо записывать в startup и перегружать csco? Не перегружаю <br>&gt;&gt;&gt; потому что люди работают.<br>&gt;&gt; нет,не надо в стартап,он нужен только при перезагрузке cisco.привидите конфиг весь <br>&gt; ну я привел выше практически весь, ну есть там еще строки типа <br>&gt; timeout штук 5, multicast-routing, про ssh и telnet но даже мне <br>&gt; очевидно что это к делу отношения не имеет (скажите как флешку <br>&gt; примонтировать я скину весь) <br><br>через putty подключаетесь?включите логирование и будет вам конфиг<br> https://slinkov.ru/openforum/vsluhforumID6/22906.html#12 Thu, 21 Jul 2011 09:53:26 GMT Кароче вот весь конфиг (я же просил mount флешки а не tftp)<br><br>ASA Version 8.2(1)<br>!<br>hostname xxx<br>enable password *** encrypted<br>passwd *** encrypted<br>multicast-routing<br>names<br>!<br>interface Vlan1<br> nameif inside<br> security-level 100<br> ip address 192.168.2.1 255.255.255.0<br>!<br>interface Vlan2<br> nameif outside<br> security-level 0<br> ip address xxx.xxx.xxx.xxx 255.255.255.252<br>!<br>interface Ethernet0/0<br> switchport access vlan 2<br>!<br>interface Ethernet0/1<br>!<br>interface Ethernet0/2<br>!<br>interface Ethernet0/3<br>!<br>interface Ethernet0/4<br>!<br>interface Ethernet0/5<br>!<br>interface Ethernet0/6<br>!<br>interface Ethernet0/7<br>!<br>ftp mode passive<br>access-list 1 extended permit icmp any any<br>pager lines 24<br>logging asdm informational<br>mtu inside 1500<br>mtu outside 1500<br>icmp unreachable rate-limit 1 burst-size 1<br>no asdm history enable<br>arp timeout 14400<br>global (outside) 1 interface<br>nat (inside) 1 192.168.2.0 255.255.255.0<br>nat (inside) 1 0.0.0.0 0.0.0.0<br>access-group 1 in interface outside<br>route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx