Я новичок в CISCO, ACL и NAT, но хочу учиться.
У меня проблемы с предоставлением доступа к FTP через ASA5505 ASA 9.2 (2) ASDM 7.3 (3)
Это моя проблема, у меня есть домен с моим внешним IP-адресом ASA, поэтому я хочу ввести домен в мою ftp-программу (с именем пользователя и паролем) и иметь доступ к моему NAS, расположенному за моим ASA.Passive уже включен на ASA, и я тоже пробовал активный. Я вижу, что ASA отклоняет соединение.
Раньше у меня был роутер / брандмауэр / DMZ Asus N56U, и у меня ни с чем не было проблем, поэтому я знаю, что это ASA.
Не знаю, важно ли это, но моя сетевая конфигурация выглядит так:
Интернет (кабельный модем Comcast) => ASA5505 => Коммутатор (192.168.1.9), а затем от этого коммутатора он переходит ко второму коммутатору (все в той же сети), где находится NAS.
Это ведь не при чем? Стоит ли использовать DMZ? Только для NAS? или это не важно?
Я даже сделал «протокол исправлений ftp 21» (честно говоря, я не знаю, почему и что он делает), я нашел несколько сообщений, в которых говорится, что это решает проблему, поэтому я сделал это. Ничего не исправил, сеанс FTP истек тем не мение.
FTP к NAS из моей локальной сети работает нормально. (Я набираю 192.168.1.10 + Имя пользователя и Пароль в Filezilla, и никаких проблем), но проблема в том, что проблема исходит извне с myhomeftp.net. Я не нашел ни одного надежного способа, который работает (как стандартная процедура), чтобы разрешить FTP-соединение за asa5505 (это меня смущает), есть много способов сделать это ??
Я успешно перенёс перенаправленный udp-трафик на другой конкретный хост, чтобы иметь возможность играть на Tunngle. Я думал, что FTP будет таким, чувак, я был неправ ... Я думал, что это просто объявить NAT и ACL, и все.
Если вы заметили, что правила Nats для FTP выглядят как «nat (any, external)». Если я изменю «any» на «inside», ASDM выдаст мне ошибку, в которой говорится, что он не может зарезервировать порты и стереть правила NAT для FTP и FTP-данные.
У меня нет никаких успехов в работе с протоколом FTP, заранее спасибо, ребята.
ASA Version 9.2(2)
!
hostname asa5505
xlate per-session deny tcp any4 any4
xlate per-session deny tcp any4 any6
xlate per-session deny tcp any6 any4
xlate per-session deny tcp any6 any6
xlate per-session deny udp any4 any4 eq domain
xlate per-session deny udp any4 any6 eq domain
xlate per-session deny udp any6 any4 eq domain
xlate per-session deny udp any6 any6 eq domain
names
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address dhcp setroute
!
boot system disk0:/asa922-k8.bin
ftp mode passive
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network obj-192.168.1.15
host 192.168.1.15
object network obj-192.168.1.0
subnet 192.168.1.0 255.255.255.0
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network FTP
host 192.168.1.10
object network FTP_DATA
host 192.168.1.10
object-group service DM_INLINE_TCP_2 tcp
access-list outside_access_in remark Tunngle gaming
access-list outside_access_in extended permit udp any4 object obj-192.168.1.15
eq 11155
access-list outside_access_in extended permit tcp any4 object FTP eq ftp
access-list outside_access_in extended permit tcp any4 object FTP eq ftp-data
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-733.bin
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
!
object network obj-192.168.1.15
nat (inside,outside) static interface service udp 11155 11155
object network obj-192.168.1.0
nat (inside,outside) dynamic interface
object network obj_any
nat (inside,outside) dynamic interface
object network FTP
nat (any,outside) static interface service tcp ftp ftp
object network FTP_DATA
nat (any,outside) static interface service tcp ftp-data ftp-data
access-group outside_access_in in interface outside
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
crypto ipsec security-association pmtu-aging infinite
crypto ca trustpool policy
telnet timeout 5
ssh stricthostkeycheck
ssh 192.168.1.0 255.255.255.0 inside
ssh timeout 10
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.1.5-192.168.1.132 inside
dhcpd enable inside
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
webvpn
anyconnect-essentials
username Don password xFknmwCuNrTVsX3C encrypted
username Don attributes
service-type admin
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
call-home
profile CiscoTAC-1
no active
destination address http
https://tools.cisco.com/its/service/oddce/services/DDCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily
Cryptochecksum:c35ba40b6d6d3f411b03dfff22408298
: end
На этом этапе я бы рекомендовал использовать менее сложный брандмауэр, исходя из описания вашей проблемы и предпринятых вами шагов. А Meraki Z1 или MX64 может быть более привлекательным.
Похоже, у вас есть ОДИН общедоступный IP-адрес, поэтому вы можете сделать это полностью в ASDM с правилами сопоставления портов в Правила NAT экран. Однако ваше правило доступа к брандмауэру должно быть источником ЛЮБОЙ к месту назначения ЛЮБОЙ.