forum.opennet.ru

Составление сообщения

Исходное сообщение

"Cisco ASA 5510: возможность route-map и проксирование FTP"
Отправлено dxer, 05-Июн-08 14:54

>[оверквотинг удален]
>делать reset. Всё замечательно работает, но для всех. Через ASDM вставить
>в класс или Inspect Map для FTP access-list по ip адресам
>не получается. Пробовал руками - там тоже консоль просто не даёт
>в класс, который type inspect ftp забивать access-listы...
>
>:(
>
>пробовал гуглить - ни одного примера не нашёл :(
>
>буду очень благодарен за кратенький рабочий примерчик.
Ну вот приблизительно только для SMTP инспекции (моя задача была НЕ испектировать SMTP трафик в корпоративной распределенной сети... (лучше делайте через CLI)
access-list traffic_for_INSPECT remark Traffic to-be-Inspected by ASA
access-list traffic_for_INSPECT extended deny tcp 172.29.0.0 255.255.0.0 172.29.0.0 255.255.0.0 eq smtp
access-list traffic_for_INSPECT extended deny tcp host 172.29.1.5 host 172.28.1.2 eq smtp
access-list traffic_for_INSPECT extended deny tcp host 172.29.1.6 host 172.28.1.2 eq smtp
access-list traffic_for_INSPECT extended deny tcp host 172.29.1.14 host 172.28.1.2 eq smtp
access-list traffic_for_INSPECT extended deny tcp host 10.0.0.2 host 172.29.1.5 eq smtp
access-list traffic_for_INSPECT extended deny tcp host 10.0.0.2 host 172.29.1.6 eq smtp
access-list traffic_for_INSPECT extended deny tcp host 10.0.0.2 host 172.29.1.14 eq smtp
access-list traffic_for_INSPECT extended permit ip any any

class-map inspection_default
match access-list traffic_for_INSPECT
match default-inspection-traffic
!
policy-map type inspect dns DNS-SRT
description SRT DNS policy-map
parameters
  message-length maximum 1024
policy-map type inspect esmtp SMTP-SRT
description SRT ESMTP policy-map
parameters
  special-character action drop-connection log
match cmd line length gt 512
  drop-connection log
match sender-address length gt 320
  drop-connection log
match ehlo-reply-parameter others
  mask
match MIME filename length gt 255
  drop-connection log
match invalid-recipients count gt 1
  drop-connection log
match cmd RCPT count gt 100
  drop-connection log
policy-map global_policy
class inspection_default
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
  inspect icmp
  inspect pptp
  inspect snmp
  inspect http
  inspect dns DNS-SRT
  inspect esmtp SMTP-SRT

Исходное сообщение
"Cisco ASA 5510: возможность route-map и проксирование FTP" Отправлено dxer, 05-Июн-08 14:54
>[оверквотинг удален] >делать reset. Всё замечательно работает, но для всех. Через ASDM вставить >в класс или Inspect Map для FTP access-list по ip адресам >не получается. Пробовал руками - там тоже консоль просто не даёт >в класс, который type inspect ftp забивать access-listы... > >:( > >пробовал гуглить - ни одного примера не нашёл :( > >буду очень благодарен за кратенький рабочий примерчик. Ну вот приблизительно только для SMTP инспекции (моя задача была НЕ испектировать SMTP трафик в корпоративной распределенной сети... (лучше делайте через CLI) access-list traffic_for_INSPECT remark Traffic to-be-Inspected by ASA access-list traffic_for_INSPECT extended deny tcp 172.29.0.0 255.255.0.0 172.29.0.0 255.255.0.0 eq smtp access-list traffic_for_INSPECT extended deny tcp host 172.29.1.5 host 172.28.1.2 eq smtp access-list traffic_for_INSPECT extended deny tcp host 172.29.1.6 host 172.28.1.2 eq smtp access-list traffic_for_INSPECT extended deny tcp host 172.29.1.14 host 172.28.1.2 eq smtp access-list traffic_for_INSPECT extended deny tcp host 10.0.0.2 host 172.29.1.5 eq smtp access-list traffic_for_INSPECT extended deny tcp host 10.0.0.2 host 172.29.1.6 eq smtp access-list traffic_for_INSPECT extended deny tcp host 10.0.0.2 host 172.29.1.14 eq smtp access-list traffic_for_INSPECT extended permit ip any any class-map inspection_default match access-list traffic_for_INSPECT match default-inspection-traffic ! policy-map type inspect dns DNS-SRT description SRT DNS policy-map parameters message-length maximum 1024 policy-map type inspect esmtp SMTP-SRT description SRT ESMTP policy-map parameters special-character action drop-connection log match cmd line length gt 512 drop-connection log match sender-address length gt 320 drop-connection log match ehlo-reply-parameter others mask match MIME filename length gt 255 drop-connection log match invalid-recipients count gt 1 drop-connection log match cmd RCPT count gt 100 drop-connection log policy-map global_policy class inspection_default inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect icmp inspect pptp inspect snmp inspect http inspect dns DNS-SRT inspect esmtp SMTP-SRT

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>[оверквотинг удален] 
>>делать reset. Всё замечательно работает, но для всех. Через ASDM вставить 
>>в класс или Inspect Map для FTP access-list по ip адресам 
>>не получается. Пробовал руками - там тоже консоль просто не даёт 
>>в класс, который type inspect ftp забивать access-listы...
>> 
>>:( 
>> 
>>пробовал гуглить - ни одного примера не нашёл :( 
>> 
>>буду очень благодарен за кратенький рабочий примерчик.

> Ну вот приблизительно только для SMTP инспекции (моя задача была НЕ испектировать 
> SMTP трафик в корпоративной распределенной сети... (лучше делайте через CLI)

> access-list traffic_for_INSPECT remark Traffic to-be-Inspected by ASA 
> access-list traffic_for_INSPECT extended deny tcp 172.29.0.0 255.255.0.0 172.29.0.0 
> 255.255.0.0 eq smtp 
> access-list traffic_for_INSPECT extended deny tcp host 172.29.1.5 host 172.28.1.2 eq smtp 
 
> access-list traffic_for_INSPECT extended deny tcp host 172.29.1.6 host 172.28.1.2 eq smtp 
 
> access-list traffic_for_INSPECT extended deny tcp host 172.29.1.14 host 172.28.1.2 eq 
> smtp 
> access-list traffic_for_INSPECT extended deny tcp host 10.0.0.2 host 172.29.1.5 eq smtp 
 
> access-list traffic_for_INSPECT extended deny tcp host 10.0.0.2 host 172.29.1.6 eq smtp 
 
> access-list traffic_for_INSPECT extended deny tcp host 10.0.0.2 host 172.29.1.14 eq smtp 
 
> access-list traffic_for_INSPECT extended permit ip any any

> class-map inspection_default 
>  match access-list traffic_for_INSPECT 
>  match default-inspection-traffic

> !
> policy-map type inspect dns DNS-SRT 
>  description SRT DNS policy-map 
>  parameters 
>   message-length maximum 1024 
> policy-map type inspect esmtp SMTP-SRT 
>  description SRT ESMTP policy-map 
>  parameters 
>   special-character action drop-connection log 
>  match cmd line length gt 512 
>   drop-connection log 
>  match sender-address length gt 320 
>   drop-connection log 
>  match ehlo-reply-parameter others 
>   mask 
>  match MIME filename length gt 255 
>   drop-connection log 
>  match invalid-recipients count gt 1 
>   drop-connection log 
>  match cmd RCPT count gt 100 
>   drop-connection log 
> policy-map global_policy 
>  class inspection_default 
>   inspect ftp 
>   inspect h323 h225 
>   inspect h323 ras 
>   inspect rsh 
>   inspect rtsp 
>   inspect sqlnet 
>   inspect skinny 
>   inspect sunrpc 
>   inspect xdmcp 
>   inspect sip 
>   inspect netbios 
>   inspect tftp 
>   inspect icmp 
>   inspect pptp 
>   inspect snmp 
>   inspect http 
>   inspect dns DNS-SRT 
>   inspect esmtp SMTP-SRT

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру