ASA nat转换详解与扩展ACL详解

AR1区 telnet AR2 经过ASA1 转换流量
配置如下:
ASA配置:
ASA Version 8.4(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface GigabitEthernet0
nameif inside
security-level 100
ip address 192.168.10.254 255.255.255.0
!
interface GigabitEthernet1
nameif outside
security-level 0
ip address 100.1.1.254 255.255.255.0
!
interface GigabitEthernet2
nameif dmz
security-level 50
ip address 192.168.30.254 255.255.255.0
!
interface GigabitEthernet3
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet4
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet5
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
object network natt
subnet 192.168.10.0 255.255.255.0

AR1配置:
R1#show running-config
Building configuration...

Current configuration : 1211 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip tcp synwait-time 5
!
!
ip cef
no ip domain lookup
!
interface Loopback0
ip address 10.10.1.1 255.255.255.0
!
interface Ethernet0/0
ip address 192.168.10.1 255.255.255.0
half-duplex
!
interface Ethernet0/1
no ip address
shutdown
half-duplex
!
interface Ethernet0/2
no ip address
shutdown
half-duplex
!
interface Ethernet0/3
no ip address
shutdown
half-duplex
!
interface Ethernet1/0
no ip address
shutdown
half-duplex
!
interface Ethernet1/1
no ip address
shutdown
half-duplex
!
interface Ethernet1/2
no ip address
shutdown
half-duplex
!
interface Ethernet1/3
no ip address
shutdown
half-duplex
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 192.168.10.254

AR2配置:
R2#show running-config
Building configuration...

Current configuration : 1184 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
enable password 123
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip tcp synwait-time 5
!
ip cef
no ip domain lookup
!
interface Ethernet0/0
no ip address
shutdown
half-duplex
!
interface Ethernet0/1
ip address 100.1.1.1 255.255.255.0
half-duplex
!
interface Ethernet0/2
no ip address
shutdown
half-duplex
!
interface Ethernet0/3
no ip address
shutdown
half-duplex
!
interface Ethernet1/0
no ip address
shutdown
half-duplex
!
interface Ethernet1/1
no ip address
shutdown
half-duplex
!
interface Ethernet1/2
no ip address
shutdown
half-duplex
!
interface Ethernet1/3
no ip address
shutdown
half-duplex
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 192.168.20.254

AR3配置:
R3#show running-config
Building configuration...

Current configuration : 939 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
enable password 123
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip tcp synwait-time 5
!
!
ip cef
no ip domain lookup
!
interface Ethernet0/0
no ip address
shutdown
half-duplex
!
interface Ethernet0/1
no ip address
shutdown
half-duplex
!
interface Ethernet0/2
ip address 192.168.30.1 255.255.255.0
half-duplex
!
interface Ethernet0/3
no ip address
shutdown
half-duplex
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 192.168.30.254

扩展ACL详解:

注:要拒绝不同流量的时候在目标IP后加 eq 后加 相对应的端口号

Cisco 扩展ACL写法: 这个主机是源 端口号可以不写 这个主机是目标端口号要写
创建扩展acl(123) 拒绝tcp协议 主机 192.168.10.1 主机 192.168.30.1 ep 23

ciscoasa(config)# access-list 123 deny tcp host 192.168.10.1 host 192.168.30.1 eq 23
注:eq是对等的意思 后面加端口号 23

那么这条扩展ACL只阻止源192.168.10.1 到192.168.30.1 tcp协议中的23 telnet 流量

   查看ASA版本

ciscoasa# show version

情况1:
在R1主动 远程 telnet 访问 R3 时 在ASA上的入向接口Inside 上有禁止R1 远程telnet访问R3的扩展ACL 所以所发送的数据没有进去ASA 导致 R1 不能远程telnet R3

情况2:
在R1主动 远程 telnet 访问 R3 时 在ASA上的出向接口DMZ 上有禁止R1 远程telnet访问R3的扩展ACL 所以所发送的数据没有在ASA出去 同时在ASA上的conn表上也没有形成条目 因为此数据被丢弃了 导致 R1 不能远程telnet R3

情况3:
在R1主动 远程 telnet 访问 R3 时 在ASA上的出向接口DMZ上没有禁止R1 远程telnet访问R3的扩展ACL 所以所发送的数据在ASA出去 同时在ASA上的conn表上形成条目 此数据转发出去了 然而在回包的时候有不让R3给R1回包的入向扩展ACL 数据到了DMZ接口 查看了 conn 表就无视了不让R3给R1回包的扩展ACL 因为ASA默认为自己发出的流量就是安全的 并且数据包出去的时候在conn表上形成对应条目就是为了数据包能够回来
所以数据流量可以回包

情况4:
在R1主动 远程 telnet 访问 R3 时 在ASA上的出向接口DMZ上没有禁止R1 远程telnet访问R3的扩展ACL 所以所发送的数据在ASA出去 同时在ASA上的conn表上形成条目 此数据转发出去了 然而在回包的时候有不让R3给R1回包的出向扩展ACL 数据到了DMZ接口 查看了 conn 表就无视了不让R3给R1回包的扩展ACL 因为ASA默认为自己发出的流量就是安全的 并且数据包出去的时候在conn表上形成对应条目就是为了数据包能够回来
所以数据流量可以回包

原文地址:http://blog.51cto.com/13585615/2084673

时间: 2024-10-26 17:34:58

ASA nat转换详解与扩展ACL详解的相关文章

标准ACL、扩展ACL和命名ACL的配置详解

访问控制列表(ACL)是应用在路由器接口的指令列表(即规则).这些指令列表用来告诉路由器,那些数据包可以接受,那些数据包需要拒绝. 访问控制列表(ACL)的工作原理 ACL使用包过滤技术,在路由器上读取OSI七层模型的第3层和第4层包头中的信息.如源地址,目标地址,源端口,目标端口等,根据预先定义好的规则,对包进行过滤,从而达到访问控制的目的. ACl是一组规则的集合,它应用在路由器的某个接口上.对路由器接口而言,访问控制列表有两个方向. 出:已经过路由器的处理,正离开路由器的数据包. 入:已到

NAT转换、VLAN与Trunk(特典:ACL初步)

一.NAT(网络地址转换) 即公有地址转换为私有地址 私有地址段(非公网地址,即公网不识别) A       10.0.0.0            10.255.255.255 B       172.16.0.0        172.31.255.255 C       192.168.0.0     192.168.255.255 NAT转换的方式: 一对一转换(静态NAT):即IP对IP(用于服务器挂载公网) 多对一转换(动态NAT):即IP集群对公网的借口(用于用户宽带上网) NAT

jQuery.extend()、jQuery.fn.extend()扩展方法详解

jQuery自定义了jQuery.extend()和jQuery.fn.extend()方法.其中jQuery.extend()方法能够创建全局函数或者选择器,而jQuery.fn.extend()方法能够创建jQuery对象方法. 例如: jQuery.extend({ showName : function(name){ alert(name) } }); jQuery.showName("深蓝"); jQuery.extend()除了可以创建插件外,还可以用来扩展jQuery对象

开启PHP exif扩展方法详解

服务器配置说明: 1.在php.ini文件中找到;extension=php_exif.dll,去掉前面的分号2.在php.ini文件中找到;extension=php_mbstring.dll,去掉前面的分号,并将此行移动到extension=php_exif.dll之前,使之首先加载*. 3.找到[exif]段,把下面语句的分号去掉. ;exif.encode_unicode = ISO-8859-15;exif.decode_unicode_motorola = UCS-2BE;exif.

ASA NAT

ASA的NAT配置 1.nat-control命令解释 pix7.0版本前默认为nat-control,并且不可以更改 pix7.0版本后默认为nonat-control.可以类似路由器一样,直接走路由:如果启用nat-control,那就与pix7.0版本前同. 2.配置动态nat 把内部网段:172.16.25.0/24 转换成为一个外部的地址池 200.1.1.1-200.1.1.99 NAT配置命令 ASA(config)#nat (inside) 1 172.16.25.0 255.2

iOS 开发之照片框架详解之二 —— PhotoKit 详解(上)

一. 概况 本文接着 iOS 开发之照片框架详解,侧重介绍在前文中简单介绍过的 PhotoKit 及其与 ALAssetLibrary 的差异,以及如何基于 PhotoKit 与 AlAssetLibrary 封装出通用的方法. 这里引用一下前文中对 PhotoKit 基本构成的介绍: PHAsset: 代表照片库中的一个资源,跟 ALAsset 类似,通过 PHAsset 可以获取和保存资源 PHFetchOptions: 获取资源时的参数,可以传 nil,即使用系统默认值 PHAssetCo

限制内部地址NAT转换条目

限制内部地址NAT转换条目 在配置NAT时有一条命令是限制主机的NAT转换条目,可以分别限制所有主机.单个主机.匹配ACL主机的NAT转换条目.虽然从理论上讲,NAT表中的转换条目的数量没有限制:但是实际上,内存和CPU或者可用地址范围或端口空间都会对转换条目数量有限制.每一个NAT转换条目大约用160字节的内存.在有些情况下,为了性能或者策略等原因,需要对条目数量进行限制.限制NAT转换条目的命令格式如下: Router(config)#ip nat translation max-entri

网络设备配置与管理----使用NAT转换实现Internet接入

理论学习 问题1:简述网络接入分类? 网络接入   物理接入  拨号接入:XDSL.PSTN.ISDN.Cable 专线接入:物理专线:DDN.E1/T1 专线 逻辑专线:X25.Freame-Relay 虚拟专线:VPX 逻辑接入  互联上网 共享上网:NAT转换 传入转换 静态映射 端口映射 负载均衡 传出转换 静态映射 PAT转换 地址池 代理服务器 应用级 电路级 问题2:简述私有地址网络范围? A类:1.0.0.1~126.255.255.254 B类:128.1.0.1~191.25

android WebView详解,常见漏洞详解和安全源码(下)

上篇博客主要分析了 WebView 的详细使用,这篇来分析 WebView 的常见漏洞和使用的坑. 上篇:android WebView详解,常见漏洞详解和安全源码(上) 转载请注明出处:http://blog.csdn.net/self_study/article/details/55046348 对技术感兴趣的同鞋加群 544645972 一起交流. WebView 常见漏洞 WebView 的漏洞也是不少,列举一些常见的漏洞,实时更新,如果有其他的常见漏洞,知会一下我-- WebView