Comments 17
я не сталкивался с АСА, но не вижу тут никакой проблемы вообще. просто открыть порт подключения только для доверительных сетей. остальным закрыть. или я как то не так понял задачу
Если бы всё было ТАК просто, то даже вопросов бы не было :)
Но увы, если Вы имеете ввиду банальный ACL на вход интерфейса, то на ASA он не фильтрует трафик, направленный на саму АSАшку. В этом собственно и есть хитрость
Но увы, если Вы имеете ввиду банальный ACL на вход интерфейса, то на ASA он не фильтрует трафик, направленный на саму АSАшку. В этом собственно и есть хитрость
поставьте то, что будет фильтровать вместо ASA или перед ASA.
Асашники никогда не ищут легких путей.
По сути дела — в 8.0(4) уже должен же быть параметр control-plane в access-group?
По сути дела — в 8.0(4) уже должен же быть параметр control-plane в access-group?
Да, совершенно верно.
Вы верно указали суть, поэтому придётся рассказать подробно :)
Итак, суть вопросов, указанных в корневом топике, сводилась обычно к тому, каким образом можно фильтровать управляющий трафик (например, sslvpn, IPSec VPN, ssh и др.), если простой ACL не фильтрует трафик, направленный на адрес интерфейса ASA
Ответ раньше был такой: никак :(
Сейчас, с версии 8, появилась возможность писать отдельный ACL, в котором указывать конкретно трафик, направленный на адрес АСЫ, и привешивать его на control-plane
Конкретно, приведенная задача решается так:
access-l IPSec permit udp <доверительные сети> any eq 500
access-l IPSec deny udp any any eq 500
access-l IPSec permit ip any any
access-group IPSec in int outside control-plane
Если поглядеть подсказку после
access-group IPSec in int outside?
configure mode commands/options:
control-plane Specify if rule is for to-the-box traffic
per-user-override Allow per-user ACL to override
то написано, что control-plane фильтрует трафик конкретно на адрес АСЫ
ВНИМАНИЕ: до версии 8.0(4) была такая вредная бага:
привешивание ACL на control-plane СНИМАЛ обычный ACL, висящий на том же интерфейсе в том же направлении.
Вы верно указали суть, поэтому придётся рассказать подробно :)
Итак, суть вопросов, указанных в корневом топике, сводилась обычно к тому, каким образом можно фильтровать управляющий трафик (например, sslvpn, IPSec VPN, ssh и др.), если простой ACL не фильтрует трафик, направленный на адрес интерфейса ASA
Ответ раньше был такой: никак :(
Сейчас, с версии 8, появилась возможность писать отдельный ACL, в котором указывать конкретно трафик, направленный на адрес АСЫ, и привешивать его на control-plane
Конкретно, приведенная задача решается так:
access-l IPSec permit udp <доверительные сети> any eq 500
access-l IPSec deny udp any any eq 500
access-l IPSec permit ip any any
access-group IPSec in int outside control-plane
Если поглядеть подсказку после
access-group IPSec in int outside?
configure mode commands/options:
control-plane Specify if rule is for to-the-box traffic
per-user-override Allow per-user ACL to override
то написано, что control-plane фильтрует трафик конкретно на адрес АСЫ
ВНИМАНИЕ: до версии 8.0(4) была такая вредная бага:
привешивание ACL на control-plane СНИМАЛ обычный ACL, висящий на том же интерфейсе в том же направлении.
Это не спортивно. И задача бы тогда формулировалась не так, а примерно «в какое место выкинуть эту дурацкую асу и какой недорогой ДЛинк купить вместо неё?»
ммм… обычный Linux/Unix маршрутер, который по iptables дропает все пакеты (можно ACK, но что мешает все?) из всех сетей кроме целевой… Железка баксов за 50.
Вот, а после нее хоть АСА, хоть потоп.
Вот, а после нее хоть АСА, хоть потоп.
Дада, например, если приходит какой-нить смешной гигабит и ставить ещё одну точку отказа… Некомильфо!
К тому же задачка ПРО ЦИСКУ, значит в описанной задаче никакого железа больше не требуется. Иначе это бы я указал в условии.
И решение я уже написал. Собсно, хитрость то в том, что трафик направлен на адрес самой АСЫ. IPTables тоже не зарутит трафик, направленный на себя, абы куда.
К тому же задачка ПРО ЦИСКУ, значит в описанной задаче никакого железа больше не требуется. Иначе это бы я указал в условии.
И решение я уже написал. Собсно, хитрость то в том, что трафик направлен на адрес самой АСЫ. IPTables тоже не зарутит трафик, направленный на себя, абы куда.
с АСой не работал, в iptables/ipfw/pf и т.д. делается это очень просто. Но вот когда совсем нет фаервола, то можно трафик отправлять на лупбэк интерфейс, чтобы не достался никому. т.е. чтобы заблокировать полностью какую-то сеть можно прописать на нее нерабочий роут(для исходящего трафика), а для входящего надо будет написать правило маршрутизации, в зависимости от source ip и если он из той сети, то слать его куда-нить на несуществующий. Но это конечно порой возможно, когда речь идет о маршрутизаторах — это они точно умеют.
Sign up to leave a comment.
Маленькая задачка про ASA с глубоким смыслом :)