Pytanie moje dot. ksiazki
Cisco ASA: All-in-one firewall...
strona 146-147
1. Dla ruchu przychodzacego z outside do WEB_Servers(DMZ) jest ACL na outside IN ktory zezwala, a jednoczesnie nie ma odpowiednich wpisów na DMZ OUT, ktore by zezwalaly na ten ruch. Dlaczego ?
2. Dla tego samego ruchu, outside -> DMZ, brakuje staticów.
Może mi to ktoś potwierdzić lub jeśli się mylę wytłumaczyć ?
PJ
Cisco ASA: All-in-one Firewall
Re: Cisco ASA: All-in-one Firewall
moja kniga *.chm niestety numerów stron nie posiadapjeter pisze:Pytanie moje dot. ksiazki
Cisco ASA: All-in-one firewall...
strona 146-147
1. Dla ruchu przychodzacego z outside do WEB_Servers(DMZ) jest ACL na outside IN ktory zezwala, a jednoczesnie nie ma odpowiednich wpisów na DMZ OUT, ktore by zezwalaly na ten ruch. Dlaczego ?
2. Dla tego samego ruchu, outside -> DMZ, brakuje staticów.
Może mi to ktoś potwierdzić lub jeśli się mylę wytłumaczyć ?
PJ
"Trust no one"
no zeczywiscie jakas dupna ta siec.pjeter pisze:Chapter 5
Figure 5-8
Example 5-26
PJ
Wszystkie hosty maja publiczne adresy, hehe.
Pewnie autor zaklada ze w tej skrzynce jest wbita komenda no nat-control. Czy cos takiego.
Co do ACL, to rzeczwiscie na logike do DMZ przez ta ACL uwalany jest caly ruch z outside.
Wogole koles ja wzocil na DMZ w kierunku out - czuje sie zaklopotany bo logika podpowiada ze powinna byc na inside w kierunku in.
Co do pytania 2 to o jakie staticki ci chodzi dokladnie
ps. expertem z asa nie jestem to moje prywatne przemyslenia
"Trust no one"
pjeter pisze:No komenda statickktm pisze:Co do pytania 2 to o jakie staticki ci chodzi dokladnie
dla zainicjowanego ruchu z outside do inside jesli nie ma w tablicy polaczen wczesniej utworzonych wpisow AFAIK potrzebne sa statyczne wpisy wpuszczajace z nizszego sec do wyzszego. Zgadza sie ?
PJ
teoretycznie sie zgadza
idac za ciosem nie ma komendy do nata z indide na outside, i z inside do dmz.
Ale tym razem wydaje mi sie ze powinno juz zaskoczyc bo od pix 7.0 w gore domyslnie nie jest wymagane jak w poprzednich wersjach zeby uruchamiac obligatoryjnie natowanie.
Dlatego sądze ze w tym pix działa domyślna komenda
Kod: Zaznacz cały
no nat-control
The nat-control Command
With nat-control disabled, the PIX forwards packets from a higher-security interface to a lower one without a specific translation entry in the configuration. In order to pass traffic from a lower security interface to a higher one, use access-lists to permit the traffic. The PIX then forwards the traffic. This document focuses on the PIX firewall behavior with nat-control enabled.
"Trust no one"