Geekly Articles each Day

рд╕рд┐рд╕реНрдХреЛ рдПрдПрд╕рдП 5510 + рд╕реБрд░рдХреНрд╖рд╛ рдореЙрдбреНрдпреВрд▓ рдПрдПрд╕рдП-рдПрд╕рдПрд╕рдПрдо-рд╕реАрдПрд╕рд╕реА -10 + рдПрдирдПрдЯреА рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░реЗрдВ

рдПрдХ рд╡рд╛рд╕реНрддрд╡рд┐рдХ рдЖрдИрдкреА (1.1.1.1), рддреАрди рдЖрдВрддрд░рд┐рдХ рд╕рдмрдиреЗрдЯ 192.168.2.0/24 192.168.3.0/24 172.16.0.0/24 рд╣реИред рд▓реЗрдЦрд╛ рд╡рд┐рднрд╛рдЧ рдХреА рдПрдХ рдорд╣рд┐рд▓рд╛ рднреА рд╣реИ, рдЬрд┐рд╕реЗ рд╣рдорд╛рд░реЗ NAT рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдЧреНрд░рд╛рд╣рдХ рдмреИрдВрдХ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИред SSM-CSC-10 рдореЙрдбреНрдпреВрд▓ рдкреИрдЪ рдХреЙрд░реНрдб рджреНрд╡рд╛рд░рд╛ f0 / 3 рдЗрдХреНрдХреЗ рдкреЛрд░реНрдЯ рд╕реЗ рдЬреБрдбрд╝рд╛ рд╣реИред

рдПрдПрд╕рдП 5510 рдХреЗ рдмрд╛рд░реЗ рдореЗрдВ рдереЛрдбрд╝рд╛
рдПрдПрд╕рдП рдЗрдВрдЯрд░рдлреЗрд╕ рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдиреЗ рдХрд╛ рдореВрд▓ рд╕рд┐рджреНрдзрд╛рдВрдд рд╕реБрд░рдХреНрд╖рд╛-рд╕реНрддрд░ рдХреЛ 0 рд╕реЗ 100 рддрдХ рдЕрд╕рд╛рдЗрди рдХрд░рдирд╛ рд╣реИред
0 рдХреЛ рдПрдХ рдЕрд╕реБрд░рдХреНрд╖рд┐рдд рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рд░рдЦрд╛ рдЬрд╛рддрд╛ рд╣реИ, рдЖрдорддреМрд░ рдкрд░ рдПрдХ рдмрд╛рд╣рд░реА рдПрдХред
100 рдХреЛ рдЖрдВрддрд░рд┐рдХ рдиреЗрдЯрд╡рд░реНрдХ рдкрд░ рд░рдЦрд╛ рдЧрдпрд╛ рд╣реИ рдЬрд┐рд╕рдХреА рд╣рдореЗрдВ рд╕реБрд░рдХреНрд╖рд╛ рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИред

рдкреИрдХреЗрдЯ рдХреЗ рд▓рд┐рдП рдЗрдВрдЯрд░рдлреЗрд╕ рд╕реЗ рдЧреБрдЬрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЬрд╣рд╛рдВ рд╕реБрд░рдХреНрд╖рд╛-рд╕реНрддрд░ = 0 рд╕реЗ рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдЬрд╣рд╛рдВ рд╕реБрд░рдХреНрд╖рд╛-рд╕реНрддрд░ = 100 рд╣реИ, рдЖрдкрдХреЛ рдПрдХреНрд╕реЗрд╕-рд▓рд┐рд╕реНрдЯ рдореЗрдВ рдПрдХ рдЕрдиреБрдорддрд┐ рдирд┐рдпрдо рдмрдирд╛рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ ред рд╣рдореЗрдВ рдЗрд╕рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рддрдм рд╣реЛрдЧреА рдЬрдм рд╣рдо рдмрд╣реАрдЦрд╛рддрд╛ рдкрджреНрдзрддрд┐ рдХреЗ рд▓рд┐рдП рдиреИрдЯ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ "рдЕрдВрджрд░" рдкреЛрд░реНрдЯ рдХреЛ рдлреЙрд░рд╡рд░реНрдб рдХрд░реЗрдВрдЧреЗ, рд╕рд╛рде рд╣реА рд╕реБрд░рдХреНрд╖рд╛ рдореЙрдбреНрдпреВрд▓ рддрдХ рдкрд╣реБрдВрдЪ рдХреЗ рд▓рд┐рдПред

рдореБрдЭреЗ рддреБрд░рдВрдд рдХрд╣рдирд╛ рд╣реЛрдЧрд╛ рдХрд┐ рдПрдПрд╕рдП 5510 рдХрд╛ рдЕрдкрдирд╛ рдЯреЗрд▓рдиреЗрдЯ рдХреНрд▓рд╛рдЗрдВрдЯ рдирд╣реАрдВ рд╣реИ рдФрд░ рдпрд╣ рдмрд╣реБрдд рджреБрдЦрдж рд╣реИред рд▓реЗрдХрд┐рди рдПрдХ рд░рд╛рд╕реНрддрд╛ рд╣реИред
рдпрд╣ рд╕рдм рдЗрд╕ рддрдереНрдп рд╕реЗ рдЙрдмрд▓рддрд╛ рд╣реИ рдХрд┐ рдПрдПрд╕рдП-рдПрд╕рдПрд╕рдПрдо-рд╕реАрдПрд╕рд╕реА -10 рдореЙрдбреНрдпреВрд▓ рд╣рдорд╛рд░рд╛ рдкрд╕рдВрджреАрджрд╛ рд▓рд┐рдирдХреНрд╕ рд╣реИ, рдЗрд╕рд▓рд┐рдП рд╣рдореЗрдВ рдореЙрдбреНрдпреВрд▓ рдХреЗ рд░реВрдЯ рдХрдВрд╕реЛрд▓ рдХреЛ рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реИ, рдФрд░ рд╡рд╣рд╛рдВ рд╕реЗ рдпрд╣ рдЯреЗрд▓рдиреЗрдЯ рд╣реИред
рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд▓реЙрдЧрд┐рди рдкрд╛рд╕рд╡рд░реНрдб рд╕рд┐рд╕реНрдХреЛ рдПрдПрд╕рдП-рдПрд╕рдПрд╕рдПрдо-рд╕реАрдПрд╕рд╕реА -10 рдореЙрдбреНрдпреВрд▓ рдкрд░ рд╣реИред


рд╕реБрд░рдХреНрд╖рд╛ рдореЙрдбреНрдпреВрд▓ рд╕реЗ рдХрдиреЗрдХреНрд╢рди:

asa5510# conf t asa5510(config)# session 1


рдпрд╣ рд╕реЗрдЯрдЕрдк рд╡рд┐рдЬрд╝рд╛рд░реНрдб рдЬреИрд╕рд╛ рджрд┐рдЦрддрд╛ рд╣реИ, рд╕рдм рдХреБрдЫ рд╕рд╣рдЬ рд╣реИред рдЖрдкрдХреЛ рд░реВрдЯ рдЦрд╛рддреЗ рдХреЛ рд╕рдХреНрд░рд┐рдп рдХрд░рдиреЗ рдФрд░ рдЖрдИрдкреА рдореЙрдбреНрдпреВрд▓ (192.168.1.1/24) рдФрд░ рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдорд╛рд░реНрдЧ 192.1.1.154 рдХреЛ рдкрдВрдЬреАрдХреГрдд рдХрд░рдиреЗ рдХреА рдЖрд╡рд╢реНрдпрдХрддрд╛ рд╣реЛрдЧреА

 asa5510(config)# session 1 Opening command session with slot 1. Connected to slot 1. Escape character sequence is 'CTRL-^X'. login: cisco Password: Trend Micro InterScan for Cisco CSC SSM Setup Main Menu --------------------------------------------------------------------- 1. Network Settings 2. Date/Time Settings 3. Product Information 4. Service Status 5. Password Management 6. Restore Factory Default Settings 7. Troubleshooting Tools 8. Reset Management Port Access Control List 9. Ping 10. Exit ... Enter a number from [1-10]:


рдореЙрдбреНрдпреВрд▓ рдХреЗ рд╕рд╛рде рдХрд╛рдо рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдХреБрдЫ рдФрд░ рдЙрдкрдпреЛрдЧреА рдХрдорд╛рдВрдб:

 asa5510# show module asa5510(config)# hw-module module 1 ? exec mode commands/options: password-reset Reset the CLI password on the module recover Configure recovery of this module reload Reload the module reset Reset the module shutdown Shut down the module


рдЗрд╕рдХреЗ рдмрд╛рдж, рд╣рдореЗрдВ tcp рдкреЛрд░реНрдЯ 5555 рдХреЗ рд▓рд┐рдП рдПрдХреНрд╕реЗрд╕-рд▓рд┐рд╕реНрдЯ рдореЗрдВ рдПрдХ рдирд┐рдпрдо рдЬреЛрдбрд╝рдирд╛ рд╣реЛрдЧрд╛ рдФрд░ рдЕрдкрдиреЗ рдореЙрдбреНрдпреВрд▓ рддрдХ ssh рдПрдХреНрд╕реЗрд╕ рдХреЗ рд▓рд┐рдП PAT (NAT) рд░рдЬрд┐рд╕реНрдЯрд░ рдХрд░рдирд╛ рд╣реЛрдЧрд╛ред рдореИрдВ рдпрд╣ рдХрд╛рдо рдЖрдк рдкрд░ рдЫреЛрдбрд╝рддрд╛ рд╣реВрдВред (рдиреАрдЪреЗ рдЗрд╕реА рддрд░рд╣ рдХреЗ рдЙрджрд╛рд╣рд░рдг рд╣реЛрдВрдЧреЗ)ред

рдПрдПрд╕рдП рдЗрдВрдЯрд░рдлреЗрд╕ рдХреЛ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░рдирд╛
рдмрд╛рд╣рд░реА рдЗрдВрдЯрд░рдлрд╝реЗрд╕:

 asa5510# conf t asa5510(config)# interface Ethernet0/0 asa5510(config-if)# security-level 0 asa5510(config-if)# nameif outside asa5510(config-if)# ip address 1.1.1.1 255.255.255.0


рдЖрдВрддрд░рд┐рдХ рд╡рд╛рдИ-рдлрд╛рдИ рд╡реАрдПрд▓рдПрдПрди 110:

 asa5510# conf t asa5510(config)# Ethernet0/1.110 asa5510(config-if)# security-level 100 asa5510(config-if)# nameif wi-fi asa5510(config-if)# ip address 192.168.2.254 255.255.255.0


рд▓реЗрдЦрд╛ рдиреЗрдЯрд╡рд░реНрдХ Vlan 120:

 asa5510# conf t asa5510(config)# Ethernet0/1.120 asa5510(config-if)# security-level 100 asa5510(config-if)# nameif byx asa5510(config-if)# ip address 192.168.3.254 255.255.255.0


рд╕реНрд╡рд┐рдЪ рдФрд░ рд╡рд╛рдИ-рдлрд╛рдИ рд╡рд▓рд╛рди 999 рдХреЗ рдкреНрд░рдмрдВрдзрди рдХреЗ рд▓рд┐рдП рдкреНрд░рдмрдВрдзрди рдЗрдВрдЯрд░рдлрд╝реЗрд╕:
 asa5510# conf t asa5510(config)# Ethernet0/1.999 asa5510(config-if)# security-level 100 asa5510(config-if)# nameif mng asa5510(config-if)# ip address 172.16.0.254 255.255.255.0


Ssm рдореЙрдбреНрдпреВрд▓ рдХреЛ рджреЗрдЦрдиреЗ рд╡рд╛рд▓рд╛ рдЗрдВрдЯрд░рдлрд╝реЗрд╕:

 asa5510# conf t asa5510(config)# Ethernet0/3 asa5510(config-if)# security-level 100 asa5510(config-if)# nameif antivirus asa5510(config-if)# ip address 192.168.1.254 255.255.255.0


рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдорд╛рд░реНрдЧ рд╕реЗрдЯ рдХрд░рдирд╛:

 asa5510# conf t asa5510(config)# route outside 0.0.0.0 0.0.0.0 1.1.1.2 1

DNS рд╕реЗрдЯрдЕрдк:

 asa5510(config)# dhcpd dns 8.8.8.8 178.151.44.131


NAT рд╕реЗрдЯрдЕрдк:

 asa5510# conf t asa5510(config)# nat-control asa5510(config)# global (outside) 100 interface asa5510(config)# nat (wi-fi) 100 192.168.2.0 255.255.255.0 asa5510(config)# nat (byx) 100 192.168.3.0 255.255.255.0 asa5510(config)# nat (antivirus) 100 192.168.1.1 255.255.255.255


рдЬрд╣рд╛рдВ 100 рдПрдХ NAT рд╕рдореВрд╣ рд╣реИ, рд╕рдореВрд╣реЛрдВ рдХреА рдХреБрд▓ рд╕рдВрдЦреНрдпрд╛ 2147483647 рд╣реИред рдпрд╣ рдордд рднреВрд▓реЛ рдХрд┐ рдХреЗрд╡рд▓ 65536 рдХрдиреЗрдХреНрд╢рди рдПрдХ рд╕рдореВрд╣ рдореЗрдВ рд░рдЦреЗ рдЧрдП рд╣реИрдВ, рдпрджрд┐ рдЖрдкрдХреЗ рдкрд╛рд╕ рд╡рд╛рд╕реНрддрд╡рд┐рдХ рд╕рдордп рдореЗрдВ 1000 рд╕реЗ рдЕрдзрд┐рдХ "рдЧреНрд░рд╛рд╣рдХ" рд╣реИрдВ, рддреЛ рдпрд╣ рдЕрд▓рдЧ NAT рд╕рдореВрд╣реЛрдВ рдореЗрдВ рдЧреНрд░рд╛рд╣рдХреЛрдВ рдХреЗ рдЕрд▓рдЧ-рдЕрд▓рдЧ рд╕реНрд░реЛрддреЛрдВ рдХреА рд╕рд▓рд╛рд╣ рджреА рдЬрд╛рддреА рд╣реИред

Accsess- рд╕реВрдЪреА рд╕реЗрдЯрдЕрдк:

 asa5510(config)# access-list outside_access_in extended permit tcp any any eq ssh asa5510(config)# access-list outside_access_in extended permit tcp any any eq 5555 asa5510(config)# access-list outside_access_in extended permit tcp any any eq https asa5510(config)# access-list outside_access_in extended permit tcp any any eq 8443 asa5510(config)# access-list outside_access_in extended permit tcp any any eq bgp asa5510(config)# access-list outside_access_in extended permit tcp any any eq pptp asa5510(config)# access-list outside_access_in extended permit tcp any any eq 7521 asa5510(config)# access-list outside_access_in extended permit tcp host 159.224.XX any eq 3006 asa5510(config)# access-list outside_access_in extended deny tcp any any eq 3006 log


рд╣рдо рдмрд╛рд╣рд░реА рдЗрдВрдЯрд░рдлрд╝реЗрд╕ рдкрд░ рдЕрдкрдиреА рдЙрдк-рд╕реВрдЪреА рдХреЛ рд▓рдЯрдХрд╛рддреЗ рд╣реИрдВ:

 asa5510(config)# access-group outside_access_in in interface outside


рд╣рдо рд╕реБрд░рдХреНрд╖рд╛ рдореЙрдбреНрдпреВрд▓ рдореЗрдВ рд╕рддреНрдпрд╛рдкрди рдХреЗ рд▓рд┐рдП www рдФрд░ рдореЗрд▓ рд▓рдкреЗрдЯрддреЗ рд╣реИрдВ:

 asa5510(config)# access-list csc-acl remark Exclude CSC module traffic from being scanned asa5510(config)# access-list csc-acl extended permit tcp any any eq www asa5510(config)# access-list csc-acl remark Scan Web & Mail traffic asa5510(config)# class-map csc-class asa5510(config-cmap)# match access-list csc-acl


рдбрд┐рдлрд╝реЙрд▓реНрдЯ рдкреЛрд░реНрдЯ 8443 рджреНрд╡рд╛рд░рд╛ рд╕реБрд░рдХреНрд╖рд╛ рдЗрдВрдЯрд░рдлреЗрд╕ рдХреЗ рд▓рд┐рдП рд╡реЗрдм рдЗрдВрдЯрд░рдлреЗрд╕ рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдкреНрд░рд╡реЗрд╢ рдХреЗ рд▓рд┐рдП рдкреИрдЯ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░реЗрдВ:

 asa5510(config)# static (antivirus,outside) tcp interface 8443 192.168.1.1 8443 netmask 255.255.255.255


рдЙрд╕рдХреЗ рдмрд╛рдж, рдмреНрд░рд╛рдЙрдЬрд╝рд░ https: // рдмрд╛рд╣рд░реА рдЖрдИрдкреА: 8443 рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдмрд╛рд╣рд░ рд╕реЗ рдореЙрдбреНрдпреВрд▓ рддрдХ рдкрд╣реБрдВрдЪрдирд╛ рд╕рдВрднрд╡ рд╣реЛрдЧрд╛

рдФрд░ рдЕрдВрдд рдореЗрдВ, рд╣рдо рдЕрдкрдиреЗ рдЧреНрд░рд╛рд╣рдХ рдмреИрдВрдХ рд╕реЗ рдирд┐рдкрдЯреЗрдВрдЧреЗред
рджреЛ рдорд╛рдорд▓реЗ рд╣реЛрдВрдЧреЗ:
1) рдЧреНрд░рд╛рд╣рдХ рдмреИрдВрдХ vpn рдХрдиреЗрдХреНрд╢рди рдХреЗ рдорд╛рдзреНрдпрдо рд╕реЗ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИ;
2) рдХреНрд▓рд╛рдЗрдВрдЯ-рдмреИрдВрдХ рдПрдХ рд╡рд┐рд╢рд┐рд╖реНрдЯ tcp рдкреЛрд░реНрдЯ рдкрд░ рдХрд╛рдо рдХрд░рддрд╛ рд╣реИ, рд╣рдорд╛рд░реЗ рдорд╛рдорд▓реЗ рдореЗрдВ рдпрд╣ 7521 port рд╣реИред

рдкрд╣рд▓реЗ рдорд╛рдорд▓реЗ рдХреЗ рд▓рд┐рдП, рд╣рдо рдкреАрдкреАрдЯреАрдкреА рдкреНрд░реЛрдЯреЛрдХреЙрд▓ рдХреЗ рд▓рд┐рдП рдирд┐рд░реАрдХреНрд╖рдг рдиреАрддрд┐ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░реЗрдВрдЧреЗред рдмрд╣реБрдд рд╕реБрд╡рд┐рдзрд╛рдЬрдирдХ рдФрд░ рдЖрд╡рд╢реНрдпрдХ рдмрд╛рддред рдпрд╣ linux рдкрд░ iptables рдХреЗ рд▓рд┐рдП insmod ip_nat_pptp рдореЙрдбреНрдпреВрд▓ рдХреЗ рд╕рдорд╛рди рд╣реИред

 asa5510(config)# policy-map global_policy asa5510(config-pmap)# class inspection_default asa5510(config-pmap-c)# inspect pptp


рдирддреАрдЬрддрди, рдЗрд╕ рдиреАрддрд┐ рдХреЛ рд▓рд╛рдЧреВ рдХрд░рдиреЗ рдХреЗ рдмрд╛рдж, рдПрдПрд╕рдП "рджреБрдирд┐рдпрд╛" рдХреЗ рд▓рд┐рдП рд╡реАрдкреАрдПрди рдХрдиреЗрдХреНрд╢рди рдкрд╛рд░рд┐рдд рдХрд░реЗрдЧрд╛ред

рдЕрдм рдорд╢реАрди рдкрд░ рдЕрдХрд╛рдЙрдВрдЯреЗрдВрдЯ рдХреЛ tcp рдкреЛрд░реНрдЯ 7521 рдХреЗ рдкрд╛рд░рджрд░реНрд╢реА рдЕрдЧреНрд░реЗрд╖рдг рдХреЗ рд╕рд╛рде рджреВрд╕рд░рд╛ рдорд╛рдорд▓рд╛ред

рдкреИрдЯ рд╕реЗрдЯ рдХрд░реЗрдВ:

 static (byx,outside) tcp interface 7521 192.168.3.5 7521 netmask 255.255.255.255


рд▓реЗрдЦрд╛рдВрдХрди рдХреЗ рд▓рд┐рдП рдПрдХ рдбреАрдПрдЪрд╕реАрдкреА рд╕рд░реНрд╡рд░ рд╕реЗрдЯ рдХрд░реЗрдВ
 asa5510(config)# dhcpd address 192.168.3.1-192.168.3.253 byx asa5510(config)# dhcpd enable byx


рд╡рд╛рдИ-рдлрд╛рдИ рдХреЗ рд▓рд┐рдП рдПрдХ рдбреАрдПрдЪрд╕реАрдкреА рд╕рд░реНрд╡рд░ рд╕реЗрдЯ рдХрд░реЗрдВ:

 asa5510(config)# dhcpd address 192.168.2.1-192.168.2.253 wi-fi asa5510(config)# dhcpd enable wi-fi


рд╕реБрд░рдХреНрд╖рд╛
 asa5510(config)#wr


рдЕрдВрдд
рдЖрдкрдХрд╛ рдзреНрдпрд╛рди рджреЗрдиреЗ рдХреЗ рд▓рд┐рдП рдЖрдк рд╕рднреА рдХрд╛ рдзрдиреНрдпрд╡рд╛рдж! рдореБрдЭреЗ рдЖрд╢рд╛ рд╣реИ рдХрд┐ рдореИрдВрдиреЗ рдЗрд╕реЗ рд╕реНрдкрд╖реНрдЯ рд░реВрдк рд╕реЗ рдЪрд┐рддреНрд░рд┐рдд рдХрд┐рдпрд╛ рд╣реИред

Source: https://habr.com/ru/post/In150051/

More articles:


All Articles