Giúp mình bài lab cơ bản về asa

**wlliams** · 02-02-2013, 05:04 PM

Originally posted by cv.mi0 View Post

hi...đương nhiên là bạn không thể ping được rồi. Mặc định trên firewall của cisco PIX/ASA thì không cho các gói tin kiểu connectionless protocols như icmp đi qua, ASA chỉ khởi tạo các phiên một chiều, đó là lí do vì sao bạn ping từ ASA đi thì được nhưng từ in-out, in-dmz, out-dmz đều ko được. Để làm được điều này thì mình cần tạo 1 access-list cho phép việc ping in-out, in-dmz, out-dmz.
access-list 101 extended permit icmp any any echo
access-list 101 extended permit icmp any any echo-reply
access-list 101 extended permit icmp any any time-exceeded
Rồi gán vào các cổng theo chiều in
access-group 101 in interface inside
access-group 101 in interface outside
access-group 101 in interface dmz

.
vậy là ping được. :)

Chào anh ạ, em cũng đang có vấn đề tương tự về việc không ping được giữa 2 miền Server và Client ạ. Anh có thể giúp em có được không ạ. Mô hình của em như ở ảnh đính kèm ạ. Em đã cấu hình: Phía Server là inside với 192.168.1.1, Phía Client là outside với 10.0.0.1. Khi dùng máy ảo VMWare thì em không thể ping từ 192.168.1.2 sang 10.0.0.2 và ngược lại được ạ. Em mong anh trợ giúp em mô hình này ạ. Em xin cảm ơn !

**lamvantu** · 21-02-2013, 07:24 PM

Chào bạn,

Như lời bạn cv.mi0, oTức là bạn phải cho phép gói ICMP reply trả về. Mặc định ASA cấm các kết nối khởi tạo từ bên ngoài (outside) vào inside vì vậy bạn chỉ cần cấu hình như sau:

access-list 101 extended permit icmp any any echo
access-list 101 extended permit icmp any any echo-reply
và
access-group 101 in interface inside

Các máy ảo nhớ trỏ Default-gateway nhé bạn.

**letu234** · 06-03-2013, 01:25 AM

Originally posted by bino1810 View Post

Cái này do bạn cấu hình ACL sai thôi.

- Thứ nhất bạn phải hiểu gói tin đi từ Security Level cao đến Security Level thấp thì được ASA xử lí thế nào?
- Thứ hai bạn phải hiểu ping hoạt động thế nào?

Từ đấy đưa ra cấu hình ACL thích hợp và áp dụng cho đúng interface. Còn cấu hình như bạn trên kia, áp dụng ACL cho cả 3 interface thì không được là tất nhiên, do cuối mỗi ACL đều có 1 luật là deny all

May quá em cũng đang tìm hiểu mấy cái này
Các bác chỉ cho em 2 vấn đề trên với.. loay hoay mãi vẫn không hiểu ra được tý nào ấy :(
- Gói tin đi từ Security Level cao đến Security Level thấp thì được ASA xử lí thế nào?
- ping hoạt động thế nào?

**lamvantu** · 09-03-2013, 09:21 AM

Gói tin hay traffic nói chung thì mặc định ASA chỉ cho phép khởi tạo từ traffic cao đến thấp, còn thấp qua cao thì bị deny. Còn sec level bằng nhau thì sử dụng câu lệnh same-security level...Ping thì theo quy tắc trên ping từ inside qua outside, theo quy tắc trên là ping OK nhưng phân tích kỹ chỉ OK gói ICMP request, còn gói ICMP reply thì vẫn bị deny nên Ping không thành công.

**nguyennghia198** · 05-04-2013, 12:32 PM

Originally posted by [Uchiha] View Post

Cho mình hỏi thêm. trên con asa mình có cho phép R1 Telnet đến. Vậy thì mình được phép telnet đến tất cả các cổng của asa đúng ko hay là chỉ telnet đến được cái cổng R1 kết nối tới.

ASA chỉ cho phép telnet trên cổng mình chọn. và client phải nằm trong subnet mình cho phép

Comment

Comment

Comment

Comment

Comment