2. 程式人生 > >ASA nat轉換詳解與擴展ACL詳解

ASA nat轉換詳解與擴展ACL詳解

阿新 發佈:2018-03-09
前面是 nat 地址轉換後面是擴展acl

技術分享圖片

AR1區 telnet AR2 經過ASA1 轉換流量
配置如下:
ASA配置:
ASA Version 8.4(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface GigabitEthernet0
nameif inside
security-level 100
ip address 192.168.10.254 255.255.255.0
!
interface GigabitEthernet1
nameif outside
security-level 0

ip address 100.1.1.254 255.255.255.0
!
interface GigabitEthernet2
nameif dmz
security-level 50
ip address 192.168.30.254 255.255.255.0
!
interface GigabitEthernet3
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet4
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet5
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
object network natt
subnet 192.168.10.0 255.255.255.0

AR1配置:
R1#show running-config
Building configuration...

Current configuration : 1211 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption

!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip tcp synwait-time 5
!
!
ip cef
no ip domain lookup
!
interface Loopback0
ip address 10.10.1.1 255.255.255.0
!
interface Ethernet0/0
ip address 192.168.10.1 255.255.255.0
half-duplex
!
interface Ethernet0/1
no ip address
shutdown
half-duplex
!
interface Ethernet0/2
no ip address
shutdown
half-duplex
!
interface Ethernet0/3
no ip address
shutdown
half-duplex
!
interface Ethernet1/0
no ip address
shutdown
half-duplex
!
interface Ethernet1/1
no ip address
shutdown
half-duplex
!
interface Ethernet1/2
no ip address
shutdown
half-duplex
!
interface Ethernet1/3
no ip address
shutdown
half-duplex
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 192.168.10.254

AR2配置:
R2#show running-config
Building configuration...

Current configuration : 1184 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
enable password 123
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip tcp synwait-time 5
!
ip cef
no ip domain lookup
!
interface Ethernet0/0
no ip address
shutdown
half-duplex
!
interface Ethernet0/1
ip address 100.1.1.1 255.255.255.0
half-duplex
!
interface Ethernet0/2
no ip address
shutdown
half-duplex
!
interface Ethernet0/3
no ip address
shutdown
half-duplex
!
interface Ethernet1/0
no ip address
shutdown
half-duplex
!
interface Ethernet1/1
no ip address
shutdown
half-duplex
!
interface Ethernet1/2
no ip address
shutdown
half-duplex
!
interface Ethernet1/3
no ip address
shutdown
half-duplex
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 192.168.20.254

AR3配置:
R3#show running-config
Building configuration...

Current configuration : 939 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R3
!
boot-start-marker
boot-end-marker
!
enable password 123
!
no aaa new-model
memory-size iomem 5
no ip icmp rate-limit unreachable
ip tcp synwait-time 5
!
!
ip cef
no ip domain lookup
!
interface Ethernet0/0
no ip address
shutdown
half-duplex
!
interface Ethernet0/1
no ip address
shutdown
half-duplex
!
interface Ethernet0/2
ip address 192.168.30.1 255.255.255.0
half-duplex
!
interface Ethernet0/3
no ip address
shutdown
half-duplex
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 192.168.30.254

擴展ACL詳解:

註:要拒絕不同流量的時候在目標IP後加 eq 後加 相對應的端口號

Cisco 擴展ACL寫法: 這個主機是源 端口號可以不寫 這個主機是目標端口號要寫
創建擴展acl(123) 拒絕tcp協議 主機 192.168.10.1 主機 192.168.30.1 ep 23

ciscoasa(config)# access-list 123 deny tcp host 192.168.10.1 host 192.168.30.1 eq 23
註:eq是對等的意思 後面加端口號 23

那麽這條擴展ACL只阻止源192.168.10.1 到192.168.30.1 tcp協議中的23 telnet 流量

   查看ASA版本

ciscoasa# show version

情況1:
在R1主動 遠程 telnet 訪問 R3 時 在ASA上的入向接口Inside 上有禁止R1 遠程telnet訪問R3的擴展ACL 所以所發送的數據沒有進去ASA 導致 R1 不能遠程telnet R3

情況2:
在R1主動 遠程 telnet 訪問 R3 時 在ASA上的出向接口DMZ 上有禁止R1 遠程telnet訪問R3的擴展ACL 所以所發送的數據沒有在ASA出去 同時在ASA上的conn表上也沒有形成條目 因為此數據被丟棄了 導致 R1 不能遠程telnet R3

情況3:
在R1主動 遠程 telnet 訪問 R3 時 在ASA上的出向接口DMZ上沒有禁止R1 遠程telnet訪問R3的擴展ACL 所以所發送的數據在ASA出去 同時在ASA上的conn表上形成條目 此數據轉發出去了 然而在回包的時候有不讓R3給R1回包的入向擴展ACL 數據到了DMZ接口 查看了 conn 表就無視了不讓R3給R1回包的擴展ACL 因為ASA默認為自己發出的流量就是安全的 並且數據包出去的時候在conn表上形成對應條目就是為了數據包能夠回來
所以數據流量可以回包

情況4:
在R1主動 遠程 telnet 訪問 R3 時 在ASA上的出向接口DMZ上沒有禁止R1 遠程telnet訪問R3的擴展ACL 所以所發送的數據在ASA出去 同時在ASA上的conn表上形成條目 此數據轉發出去了 然而在回包的時候有不讓R3給R1回包的出向擴展ACL 數據到了DMZ接口 查看了 conn 表就無視了不讓R3給R1回包的擴展ACL 因為ASA默認為自己發出的流量就是安全的 並且數據包出去的時候在conn表上形成對應條目就是為了數據包能夠回來
所以數據流量可以回包

ASA nat轉換詳解與擴展ACL詳解

相關推薦

ASA nat轉換ACL

前面是 nat 地址轉換後面是擴展acl AR1區 telnet AR2 經過ASA1 轉換流量配置如下:ASA配置:ASA Version 8.4(2)!hostname ciscoasaenable password 8Ry2YjIyt7RRXU24 encryptedpasswd 2KFQnbNIdI.

靜態路由ACL配置

靜態路由 ACL 靜態路由與擴展ACL配置 環境描述:1. 實現整個網絡全網互聯互通2. 禁止網絡192.168.10.0/24中的主機ping通服務器14.0.0.14/24,但允許訪問web服務和其他任何流量在GNS3新建拓撲圖為R1的f0/0和f0/1端口配置IP地址為R1配置靜態路由R2

單臂路由、ACLNAT的網絡地址轉換的配置實驗

單臂路由 ACL NAT 單臂路由、擴展ACL與NAT的網絡地址轉換的配置實驗 環境描述:1. 使用單臂路由實現C1與C2的互聯互通2. 實現整個網絡全網互聯互通3. 使用擴展ACL實現禁止網絡192.168.10.0/24中的主機ping通C3的IP地址14.0.0.14/24,禁止網絡1

Linux系統中安裝SSH2步驟 linux技能學習

Linux運維 Linux入門 Linux學習 Linux基礎 Linux雲計算 在Linux服務器環境中部署SSH2擴展以編譯PHP文件中的SSH腳本命令,具體配置方法如下,如果是在正式環境中直接運行,建議做好備份。1.安裝支持的庫文件命令:yum install php-devel

歐幾裏德算法歐幾裏德算法

線性同余 線性同余方程 歐幾裏德 其中 acc 公約數 ret ide 百度 歐幾裏得算法就是我們常說的輾轉相除法,輾轉相除法可以用來求最大公約數,知道最大公約數還可以求最小公倍數。gcd在好像也有庫函數__gcd int Gcd(int a, int b) {

歐幾裏得算法算法相關內容

www. .html spa arch gcd size 函數返回 整數 遞歸 推薦博客 http://www.cnblogs.com/frog112111/archive/2012/08/19/2646012.html 歐幾裏得算法求最大公約數(輾轉相除) 定

正則表達式正則表達式區別

grep 裏的 正則表達 則表達式 命令結果 col 地址空間 1.0 onf 最近在學習正則表達式時,遇到了一些問題,究其原因是正則表達式與擴展正則表達式的區別沒有弄清楚 正則表達式與擴展正則表達式類似,只是擴展正則表達式表達更加簡單 正則表達式需要打

並查集分析

acm pan 父親 數據 scan namespace con building stream http://jarily.com/acm/2012/11/26/bcj.html 一 並查集的基礎 1 基本功能 並查集用於處理不相交數據集合; 2 基本操作 (1

wenbaokmp

pri 單獨 name and stdio.h AC main amp ffffff 給定兩個字符串S和T(長度分別為n和m),下標從0開始,定義extend[i]等於S[i]...S[n-1]與T的最長公共前綴的長度,求出所有的extend[i] next[i]: T[

NO21 Llinux的文件種類名--文件權限--硬鏈接

進制 exe sockets 行數據 soc 種類 令行 內容 長度 Linux的文件種類與擴展名 一、文件種類:1.普通文件(regular file)第一個字符為[ - ]包括:①純文本檔(ASCII):這是Linux系統中最多的一種文件類型,稱為純文本檔。是因為內

jquery插件

AI 性能 展示 在線的 json email 實例化 des ont 要說jQuery 最成功的地方,我認為是它的可擴展性吸引了眾多開發者為其開發插件,從而建立起了一個生態系統。這好比大公司們爭相做平臺一樣,得平臺者得天下。蘋果,微軟,谷歌等巨頭,都有各自的平臺及生態圈。

歐幾裏得

要求 mic 比較 wap log mod https ace printf 歐幾裏得: gcd遞歸定義:對於任意正整數b,gcd(a,b)= gcd(b,a mod b)。 證明:      只需要證明上面兩者能相互整除。   設gcd(a,b)= d,

.Net MVC5路由機制

home webform LV 定義 write ner 直接 closed alt 新建一個MVC項目啟動後,首先訪問的地址是http://localhost:xxx/Home/Index,這時候我們也明白因為在程序中有個叫做Home的控制器,並且在這個控制器下面有個叫做

SpringBoot日記——SpringMvc自動配置

讀取 發送 registry 設置 取數據 gmv inf com 自動配置 為了讓SpringBoot保持對SpringMVC的全面支持和擴展,而且還要維持SpringBoot不寫xml配置的優勢,我們需要添加一些簡單的配置類即可實現; 通常我們使用的最多的註解是:

PCB 3D PCB 後續改進功能一些想法

基本 正則 性能 width ber inf 高度 nbsp 分享 再次感受到WelGl實現3D效果的震撼, 一.目前功能: Gerber與鉆孔 解析 並轉為3D實景圖,用戶360度操控 二.後續改進擴展功能: 1.增加ODB++解析 2.

簡單數論總結2——同余方程歐幾裏得算法

turn cor 不一定 bsp 線性 得出 算法 nbsp 擴展歐幾裏得算法 在上一次總結過後鴿了沒多久其實是快要開學趕緊來肝上兩篇 今日內容——同余方程和擴展歐幾裏得算法 同余 同余的定義:若存在兩個整數a,b,使得(a - b) MOD P為0,則稱作a與b在MOD

rest 參數運算符

arp cto 多余 highlight -s turn code font 變量 rest 參數與擴展運算符 1.rest 參數 ES6 引入 rest 參數(形式為...變量名),用於獲取函數的多余參數,這樣就不需要使用arguments對象了。rest 參數搭配的變量

OSPF多區域應用

net summary .com version 路由匯總 src network 1.2 work AR1: Int lo 0 Ip add 1.1.1.1 24 Int g0/0/0 Ip add 12.1.1.1 24 Ospf 1 router-id

NAT轉換、VLANTrunk(特典:ACL初步)

一、NAT(網路地址轉換)   即公有地址轉換為私有地址 私有地址段(非公網地址,即公網不識別)    A       10.0.0.0     &nb

write函式的read函式的

write() 標頭檔案:#include<unistd.h> 原型: ssize_t write(int fd,const void*buf,size_t count);