среда, 13 ноября 2013 г.

ASA 8.4 nat


ASA 8.4 nat 
! проброс порта во внутрь

interface Vlan3
 nameif PBX
 security-level 90
 ip address 192.168.19.1 255.255.255.0
!
interface Vlan22
 nameif DMZ
 security-level 90
 ip address 192.168.22.253 255.255.255.0

interface Vlan2

 nameif outside
 security-level 0
 ip address XX.XX.XX.XX 255.255.255.240


object network RDP-SRV
 host 192.168.0.6



object network PBX-SRV
 host 192.168.19.42

object service SSH_service
 service tcp destination eq ssh

object service SSH_ext
 service tcp destination eq 2222

object service RDP_service
 service tcp destination eq 3389



nat (outside,DMZ) source dynamic any interface destination static interface RDP-SRV service RDP_service RDP_service
nat (outside,PBX) source dynamic any interface destination static interface PBX-SRV service SSH_ext SSH_service


fw-asa# sh xlate
4 in use, 5 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
       e - extended
TCP PAT from DMZ:192.168.0.6 3389-3389 to outside:XX.XX.XX.XX 3389-3389
    flags srT idle 0:26:11 timeout 0:00:00
TCP PAT from PBX:192.168.19.42 22-22 to outside:XX.XX.XX.XX 2222-2222
    flags srT idle 0:05:25 timeout 0:00:00
TCP PAT from outside_intertax:YY.YY.YY.YY/60269 to PBX:192.168.19.1/60269 flags ri idle 0:10:41 timeout 0:00:30
TCP PAT from outside_intertax:YY.YY.YY.YY/32021 to DMZ:192.168.22.253/32021 flags ri idle 0:26:11 timeout 0:00:30

понедельник, 8 июля 2013 г.

NAT Cisco ASA 8.4 or later

 Заметка для себя.


Source and Destination NAT.


  Возникла задача нестандартного NATa, а именно подменить и источник и назначения в пакете который идет из публичной сети и пробросить его на RDP сервис. Весь сыр бор заключается в том, что сервер(RDP-SRV) установлен в дрогой подсети.


На руках ASA 5505 8.4, и вот собственно малюсенький конфиг:


Конфигурация объектов:
object network obj_any
 subnet 0.0.0.0 0.0.0.0
object network RDP-SRV
 host 192.168.0.6


Конфигурация интерфейсов:
interface Vlan2
 nameif outside
 security-level 0
 ip address XX.XX.XX.XX 255.255.255.240
!
interface Vlan22
 nameif DMZ
 security-level 90
 ip address 192.168.2.2 255.255.255.0


ciscoasa# sh run route
route outside 0.0.0.0 0.0.0.0 XX.XX.XX.1 1
route DMZ 192.168.0.0 255.255.255.0 192.168.2.1 1



ciscoasa(config)# nat (outside,DMZ) source static any interface destination static interface RDP-SRV

Просмотреть детальный конфиг(получилось два правила, одно ручное, второе- создается автоматом, по умолчанию ):

ciscoasa# sh nat detail
Manual NAT Policies (Section 1)
1 (outside) to (DMZ) source static any interface   destination static interface RDP-SRV
    translate_hits = 3, untranslate_hits = 3
    Source - Origin: 0.0.0.0/0, Translated: 192.168.2.2/24
    !а вот и результат, мы добились трансляции Source
    Destination - Origin: XX.XX.XX.XX/28, Translated: 192.168.0.6/32
    ! и Destination

Auto NAT Policies (Section 2)
1 (inside) to (outside) source dynamic obj_any interface   dns
    translate_hits = 0, untranslate_hits = 0
    Source - Origin: 0.0.0.0/0, Translated: XX.XX.XX.XX/28

Правим списки доступа и радуемся=)

вторник, 18 июня 2013 г.

tcpdump в Cisco


Создать буфер:
my_router#monitor capture buffer Buf size 256 max-size 256 circular

где: Buf - название буфера;
     size и max-size - размер буфера и максимальный размер элемента в буфере, соответственно;
      circular или linear - тип буфера, будут ли старые элементы вытеснятся новыми или нет;

Можно применить ACL для конкретных IP:
my_router#monitor capture buffer Buf filter access-list (number, name)

Создать "точку ловли":

my_router#monitor capture point ip cef cappoint fa 0/0 both
где: ip cef - метод коммутации, мы используем cef
     cappoint - название точки, далее следует интерфейс на котором слушать и в каком направлении - в обоих

 После создания, появится следующее сообщение с логах.

%BUFCAP-6-CREATE: Capture Point cappoint created.

Ассоциация созданной точки с буфером:
Так как и точек и буферов может быть достаточно большое количество, это просто указывает в какой буфер складывать пакеты.

my_router#monitor capture point associate cappoint Buf
         
Поглядеть на конфигурацю:
my_router#show monitor capture point all
  Status Information for Capture Point cappoint
  IPv4 CEF
  Switch Path: IPv4 CEF, Capture Buffer: Buf
  Status : Inactive
  Configuration: monitor capture point ip cef cappoint FastEthernet0/0 both

Включить:
В данном случае all, но можно включить и отдельную "точку" по имени
 my_router#monitor capture point start all

Так как читать он-лайн нереально, то проще все экспортнуть

Экспорт буфера(tftp, ftp, scp):
my_router#monitor capture buffer Buf export (куда)