Cisco ASA 5520 Firewall - Sayfa 2
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

+ Konuyu Cevapla
Toplam 2 Sayfadan 2. Sayfa BirinciBirinci 12
Toplam 19 sonuçtan 11 ile 19 arasındakiler gösteriliyor.
Cisco ASA 5520 Firewall

"show run" komutunu ASDM üzerindek "command line" kısmından gönderdim. Umarım doğru yapmışımdır. Aşağıda çıktıyı görebilirsiniz. Kod: Result of the command: "show run" : Saved : ASA Version 7.0(8) ! hostname

  1. #11
    cicou isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Apr 2011
    Mesajlar
    22

    Standart

    "show run" komutunu ASDM üzerindek "command line" kısmından gönderdim. Umarım doğru yapmışımdır. Aşağıda çıktıyı görebilirsiniz.

    Kod:
    Result of the command: "show run"
    
    : Saved
    :
    ASA Version 7.0(8) 
    !
    hostname **********
    domain-name default.domain.invalid
    enable password ************* encrypted
    passwd ************** encrypted
    names
    dns-guard
    !
    interface GigabitEthernet0/0
     nameif Static_IP_Internet
     security-level 0
     ip address (xxx.xxx.xxx.xxx) 255.255.255.240 
    !
    interface GigabitEthernet0/1
     nameif MobicomVPN
     security-level 0
     ip address 192.168.5.2 255.255.255.0 
    !
    interface GigabitEthernet0/2
     nameif AMRServer
     security-level 0
     ip address 192.168.6.1 255.255.255.0 
    !
    interface GigabitEthernet0/3
     nameif AMRWorkstations
     security-level 0
     ip address 192.168.3.1 255.255.255.0 
    !
    interface Management0/0
     nameif management
     security-level 100
     ip address 192.168.0.1 255.255.255.0 
     management-only
    !
    ftp mode passive
    dns domain-lookup Static_IP_Internet
    dns name-server (xxx.xxx.xxx.xxx) // DNS adresleri var buralarda. Statik IP'nin ilk iki bloğu ile aynı.
    dns name-server (xxx.xxx.xxx.xxx)
    same-security-traffic permit inter-interface
    same-security-traffic permit intra-interface
    pager lines 24
    logging enable
    logging asdm informational
    mtu Static_IP_Internet 1500
    mtu MobicomVPN 1500
    mtu AMRServer 1500
    mtu AMRWorkstations 1500
    mtu management 1500
    no failover
    monitor-interface Static_IP_Internet
    monitor-interface MobicomVPN
    monitor-interface AMRServer
    monitor-interface AMRWorkstations
    monitor-interface management
    asdm image disk0:/asdm-508.bin
    no asdm history enable
    arp timeout 14400
    global (Static_IP_Internet) 1 interface
    global (MobicomVPN) 1 interface
    global (AMRServer) 1 interface
    global (AMRWorkstations) 1 interface
    nat (MobicomVPN) 1 192.168.5.0 255.255.255.0
    nat (AMRServer) 1 192.168.6.2 255.255.255.255
    nat (AMRWorkstations) 1 192.168.3.0 255.255.255.0
    nat (management) 0 0.0.0.0 0.0.0.0
    static (AMRServer,Static_IP_Internet) tcp interface 3389 192.168.6.2 3389 netmask 255.255.255.255 
    static (AMRServer,MobicomVPN) tcp interface 32010 192.168.6.2 32010 netmask 255.255.255.255 
    route Static_IP_Internet 0.0.0.0 0.0.0.0 (xxx.xxx.xxx.xxx) 1
    route MobicomVPN 10.85.0.0 255.255.248.0 192.168.5.1 1
    route MobicomVPN 10.2.31.0 255.255.255.0 192.168.5.1 1
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
    timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
    timeout uauth 0:05:00 absolute
    username mobicom password agLtpPA7lfnhLIv5 encrypted privilege 15
    http server enable
    http 0.0.0.0 0.0.0.0 Static_IP_Internet
    http 0.0.0.0 0.0.0.0 MobicomVPN
    http 0.0.0.0 0.0.0.0 AMRServer
    http 0.0.0.0 0.0.0.0 AMRWorkstations
    http 192.168.1.0 255.255.255.0 management
    http 192.168.0.0 255.255.255.0 management
    http 0.0.0.0 0.0.0.0 management
    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac 
    crypto ipsec security-association lifetime seconds 28800
    crypto ipsec security-association lifetime kilobytes 4608000
    isakmp enable MobicomVPN
    isakmp policy 10 authentication pre-share
    isakmp policy 10 encryption des
    isakmp policy 10 hash md5
    isakmp policy 10 group 1
    isakmp policy 10 lifetime 28800
    telnet 0.0.0.0 0.0.0.0 MobicomVPN
    telnet timeout 5
    ssh timeout 5
    console timeout 0
    dhcpd address 192.168.3.100-192.168.3.199 AMRWorkstations
    dhcpd dns (xxx.xxx.xxx.xxx) (xxx.xxx.xxx.xxx)
    dhcpd lease 3600
    dhcpd ping_timeout 50
    dhcpd enable AMRWorkstations
    !
    class-map inspection_default
     match default-inspection-traffic
    !
    !
    policy-map global_policy
     class inspection_default
      inspect dns maximum-length 512 
      inspect ftp 
      inspect h323 h225 
      inspect h323 ras 
      inspect rsh 
      inspect rtsp 
      inspect esmtp 
      inspect sqlnet 
      inspect skinny 
      inspect sunrpc 
      inspect xdmcp 
      inspect sip 
      inspect netbios 
      inspect tftp 
    !
    service-policy global_policy global
    Cryptochecksum:(xxxxxxxxxxxxxxxxxxxxxxxxx)
    : end

  2. #12
    cicou isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Apr 2011
    Mesajlar
    22

    Standart

    Alıntı GhoSt Nickli Üyeden Alıntı Mesajı göster
    Aynı security level larda bile olsa default ta birbirleriyle konuşmazlar "same-security-traffic permit inter-interface" komutu olmadan
    Level larla oynamadan interface ler arası trafiği permit etmek en mantıklısı olacaktır

    Bu komutu ASDM'de bulunan Command Line Interface aracılığı ile göndersem işe yarar mı? Komutun tamamı bu şekilde mi? Yanlış bişey yapmak istemiyorum çünkü. Lütfen yapmam gerekeni açıklayıcı bir şekilde yazar mısınız?

    Teşekkürler....

  3. #13
    Soul isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jun 2008
    Mesajlar
    1,080

    Standart

    Merhaba

    Suanda birşey yapman gerekmiyor bekle bakalım.
    www.cliguru.com

  4. #14
    cicou isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Apr 2011
    Mesajlar
    22

    Standart

    Beklemedeyim, tamam

  5. #15
    GhoSt isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Ankara
    Mesajlar
    1,664

    Standart

    Alıntı cicou Nickli Üyeden Alıntı Mesajı göster
    Configuration -> Interfaces Altında tanımlı olan interface'lere baktığımda her birinin security level'ı 0 gözüküyor. 4 tane tanımlı interface var. 5.si ise management 0/0 ve bunun security level'ı ise 100 gözüküyor. Bunlar yeterli midir?
    Hepsinin sıfır olması garip hiçbiyere güven yok
    normalde outside lar 0 , inside 100 , dmz(server) 50 olması gerekir , bu şekilde düzenleyip server ile inside arasında trafik permit edilmesi en sağlıklısı olur
    Mr.google knows everything , ask to him...

  6. #16
    cicou isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Apr 2011
    Mesajlar
    22

    Standart

    @Soul: Şu an Server'a uzaktan bağlıyım. Swith'e bağlı bilgsayar açık ama ona uzaktan erişimim yok maalesef. Ama belki firewall'da yeni bir nat tanımlayarak ulaşmaya çalışacağım. Server'a yaptığım gibi.

    Bu arada Server'dan Switch'e bağlı olan bilgisayarın gateway'ine ping attım. Maalesef başarısız...


    @Ghost: Interface'leri ben tanımlamadığım için security level'ları ben belirlemedim. değiştirmek de istemiyorum açıkcası. Çok hakim olmadığım için bişeyleri bozmaktan korkuyorum. O yüzden şimdilik böyle olmasında bir sorun yok gibi duruyor. Eğer sorunun bundan kaynaklandığını düşünüyorsanız, değiştirmemde bir sakınca olacağını da sanmıyorum. Sadece ne yapmam gerektiğini söylemeniz yeterli olacaktır.

  7. #17
    Soul isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jun 2008
    Mesajlar
    1,080

    Standart

    Merhaba Cihan

    Ghost arkadasımızın da dediği gibi bende security level ile alakalı olduğunu düşünüyorum. Çünkü interfacelerinde herhangi bir drop vs yok.
    Sen inside tarafındaki bacakalrdaki security-levelları 10 a cek en azından oyle dene. Çünkü biraz araştırdım security levelları 0 olan interfacelerin birbirleriyle haberleşeceğine dair birşey göremedim.
    Zaten haberleşseler eger diger makinenin gatewayine ulaşabilmen gerekir. Switchlik birşey yok. Bunlara yogunlaşabilirsin.
    www.cliguru.com

  8. #18
    cicou isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Apr 2011
    Mesajlar
    22

    Standart

    Alıntı Soul Nickli Üyeden Alıntı Mesajı göster
    Merhaba Cihan

    Ghost arkadasımızın da dediği gibi bende security level ile alakalı olduğunu düşünüyorum. Çünkü interfacelerinde herhangi bir drop vs yok.
    Sen inside tarafındaki bacakalrdaki security-levelları 10 a cek en azından oyle dene. Çünkü biraz araştırdım security levelları 0 olan interfacelerin birbirleriyle haberleşeceğine dair birşey göremedim.
    Zaten haberleşseler eger diger makinenin gatewayine ulaşabilmen gerekir. Switchlik birşey yok. Bunlara yogunlaşabilirsin.
    Denemeler yapmaya devam ediyorum. Inside interface'ler için 10 ve üzeri level'lar deniyorum. Birazdan server'ın olduğu ofise geçeceğim. Gelişmeleri yazmaya devam ederim. Teşekkür ederim yardımlarınız için.. görüşmek üzere.

  9. #19
    cicou isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Apr 2011
    Mesajlar
    22

    Standart

    Bazı denemeler yaptım. Dediklerinizde haklı olabilirsiniz belki ama sorun hala devam etmekte.

    Server ve switch'in security level'larını 10 yaptım olmadı.
    Server 20 switch 10 yaptım olmadı
    Switch 20 server 10 yaptım olmadı
    Server 10 switch 0 yaptım olmadı
    Switch 10 server 0 yaptım olmadı

    Olmadı dediklerim de server'dan switche bağlı bilgisayara ve onun gateway'ine ping attım olmadı.

    Ofis'e gidemedim. O yüzden denemelere yarın anca devam edebileceğim. Eğer firewall'dan switch'e bağlı bilgisayarlara uzaktan ulaşabilecek konfigürasyonu yapabilirsem bugün de denemeye devam edebilirim. Çünkü önemli olan server'ın Switch'e değil Swtich'teki bilgisayarların server'a ulaşabilmesi.

    Deniyorum. Bilgilendirme yapacağım...

    Teşekkürler...

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok