Cisco ASA/Transparent firewall

Ограничения режима transparent

Ограничения режима transparent:

• ASA в режиме transparent может использовать только два интерфейса (в single mode) для передачи данных (и один выделенный интерфейс для управляющего трафика), несмотря на то, что у неё может быть большее количество интерфейсов.
• В режиме transparent для statefull failover не может использоваться выделенный интерфейс.

Настройка режима transparent

Перевести ASA в режим transparent:

ASA1(config)# firewall transparent 
ciscoasa(config)# 

Посмотреть в каком режиме работает ASA:

ciscoasa(config)# sh firewall 
Firewall mode: Transparent

Когда ASA работает в режиме transparent, на интерфейсах не задаются IP-адреса, но задаются имена и уровни безопасности:

ciscoasa(config)# int eth0/0
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# no shut

ciscoasa(config)# int eth0/2   
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# no shut

Настраивается только IP-адрес для управления самой ASA:

ciscoasa(config)# ip address 10.0.1.9 255.255.255.0 

Посмотреть настроенный адрес:

ciscoasa(config)# sh ip add
Management System IP Address:
        ip address 10.0.1.9 255.255.255.0
Management Current IP Address:
        ip address 10.0.1.9 255.255.255.0
ciscoasa(config)# 

ciscoasa(config)# ping 10.0.1.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.1.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms
ciscoasa(config)# ping 10.0.1.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ciscoasa(config)# ping 10.0.1.9
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.1.9, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ciscoasa(config)# sh mac-ad
ciscoasa(config)# sh mac-address-table 
interface                   mac  address          type      Age(min)
------------------------------------------------------------------
inside                     0060.0820.7b0b          dynamic    4 
outside                    00b0.6454.df20          dynamic    3 

ciscoasa(config)# access-list ACLIN permit icmp 10.0.1.0 255.255.255.0 10.0.1.$

ciscoasa(config)# access-group ACLIN in interface ins

ciscoasa(config)# access-group ACLIN in interface outside 

ciscoasa(config)# sh access-list 
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list ACLIN; 1 elements
access-list ACLIN line 1 extended permit icmp 10.0.1.0 255.255.255.0 10.0.1.0 255.255.255.0 (hitcnt=2) 0x48a8f2f3 
ciscoasa(config)# 

Источник: xgu.ru/wiki/Cisco_ASA/Transparent_firewall

Перепрошивка IPS модуля на межсетевом экране Cisco ASA55XX

В этой статье я постараюсь подробно описать процесс перепрошивки IPS модуля на межсетевом экране Cisco ASA. Итак, приступим J

1) Качаем прошивку для вашего устройства с сайта Cisco.com. Обратите внимание, что нужно скачивать файл с расширением .img (он должен находиться в разделе System Images), например, IPS-SSP_10-K9-sys-1.1-a-7.2-1-E4.img

2) Устанавливаем на любой компьютер вашей сети TFTP сервер (http://tftpd32.jounin.net/download/tftpd32.400.zip)

Всё, что нужно сделать после запуска TFTP сервера, это указать путь к папке, где лежит скаченный образ:

3) Подключаемся к ASA по SSH (используя, например программу putty) и начинаем процесс перезаливки образа IPS модуля, выполняя следующие команды:

ASA5585x> enable

ASA5585x# hw-module module 1 recover configure

Image URL [tftp://0.0.0.0/]: tftp://192.168.2.35/IPS-SSP_10-K9-sys-1.1-a-7.2-1-E4.img

Port IP Address [0.0.0.0]: 192.168.15.252

VLAN ID [0]:

Gateway IP Address [0.0.0.0]: 192.168.15.1

ASA5585x# hw-module module 1 recover boot

 

Здесь Image URL – путь до образа на TFTP сервере, Port IP Address – IP адрес управления IPSмодулем, а Gateway IP Address – адрес шлюза . VLAN ID не указываем.

Система предупредит вас, что будет удалена вся конфигурация IPS модуля. Так что, если хотите сохранить её, то прежде необходимо зайти на IPS (если это конечно представляется возможным), выполнить командуshow conf и скопировать конфиг в какой-нибудь текстовый файл, чтобы после перезаливки иметь возможность вернуть конфигурацию.

В программе TFTP вы должны увидеть процесс передачи файла образа на IPS модуль:

Вернувшись на ASA и выполнив на ней команду show module 1, вы увидите статус процесса перепрошивки:

Статус Recover означает, что идет трансфер образа на IPS модуль; статус Recovery – идет обновление модуля; статус Up – модуль успешно перепрошит и готов к работе.

4) Теперь нам надо вернуть конфигурацию IPS модуля к прежним настройкам. Для этого с вашего устройства Cisco ASA надо выполнить команду session 1, после чего система запросит у вас логин и пароль – введите логинcisco и пароль cisco.

Первым делом необходимо будет сменить пароль и пройтись по всем вопросам мастера. Можно везде соглашаться с дефолтными настройками нажимая клавишу Enter. По завершению работы мастера нажмите 0, чтобы вернуться в командную строку.

Теперь переходим в режим конфигурирования командой conf t и пораздельно (разделы разграничены строками «! --------------------») переносим конфиг из ранее сохраненного текстового файла: сперва копируем раздел service interface, потом service authentication, service event-action-rules rules0 и так далее. Обратите внимание, что после конфигурирования каждого раздела система просит подтвердить применение изменений:

По окончании конфигурирования необходимо перезагрузить модуль IPS командой reset.

На этом всё. Удачной работы! J

Источник: www.kovanev.net/faq/other-server-soft/208-ips-asa5585

3G Интернет на Cisco 881

Конфигурируем 3G модем для Cisco (на примере Sierra Wireless 880E-G).
Сначала нужно создать профиль соединения (тоесть APN логин и пароль)
делается это так (не из глобальной конфигурации а из enable)

Router#cellular 0 gsm profile create 3 fixedip.nw chap megafon megafon

Далее нужно настроить интерфейс cellular - у меня это cellular 0

Router#conf t
Router(config)#interface cellular 0
Router(config-if)#encapsulation ppp
Router(config-if)#ppp chap hostname megafon
Router(config-if)#ppp chap password megafon
Router(config-if)#ppp ipcp dns request
Router(config-if)#async mode interactive
Router(config-if)#ip address negotiated

Router(config)#chat-script MEGAFON "" "ATD*99*3#" TIMEOUT 30 CONNECT
Тут 3 - это номер профиля который мы создали выше.

Router(config)#interface cellular 0
Router(config-if)#dialer string MEGAFON

Ищем линию связанную с модемом:
Router#sh line
   Tty Typ     Tx/Rx    A Modem  Roty AccO AccI   Uses   Noise  Overruns   Int
*     0 CTY              -    -      -    -    -      0       0     0/0       -
      1 AUX      0/0     -    -      -    -    -      0       0     0/0       -
I     3 TTY              -    -      -    -    -      0       0     0/0     Ce0
      8 VTY              -    -      -    -    -      0       0     0/0       -
      9 VTY              -    -      -    -    -      0       0     0/0       -
     10 VTY              -    -      -    -    -      0       0     0/0       -
     11 VTY              -    -      -    -    -      0       0     0/0       -
     12 VTY              -    -      -    -    -      0       0     0/0       -

У меня это line 3

Router(config)#line 3
Router(config-line)#script dialer MEGAFON
Router(config-line)#modem inOut
Router(config-line)#no exec
Router(config-line)#exec-timeout 0 0

Теперь нам еще понадобится ACL в котором будет указан траффик который должен попадать в dialer.

Router(config)#access-list 1 permit any
Router(config)#dialer-list 1 protocol ip list 1

И теперь этот dialer-list указать в интерфейсе.

Router(config)#interface cellular 0
Router(config-if)#dialer-group 1

Далее на него нужен маршрут, наверное с указанием веса, так как врядли это единственный маршрут, пусть будет так:

Router(config)#ip route 0.0.0.0 0.0.0.0 cellular 0 200

Ну и в заключении NAT:

Router(config)#ip access-list extended NATACL
Router(config-ext-nacl)#permit ip 192.168.0.0 0.0.0.255 any

Router(config)#ip nat inside source list NATACL interface cellular 0 overload

Router(config)#interface cellular 0
Router(config-if)#ip nat outside

Теперь дело за проверкой.
Router#sh int cellular 0
Cellular0 is up, line protocol is up
  Hardware is 3G Modem-HSPA/UMTS/EDGE/GPRS-850/900/1800/1900/2100MHz / Global
  Description: uplink
  Internet address is 100.87.93.139/32
  MTU 1500 bytes, BW 2000 Kbit/sec, DLY 100000 usec,
     reliability 255/255, txload 4/255, rxload 18/255
  Encapsulation PPP, LCP Open
  Open: IPCP, loopback not set
  Keepalive not supported
  Last input 00:00:00, output 00:00:00, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/10 (size/max)
  5 minute input rate 142000 bits/sec, 20 packets/sec
  5 minute output rate 34000 bits/sec, 19 packets/sec
     6426 packets input, 6566728 bytes, 0 no buffer
     Received 0 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
     5176 packets output, 1089212 bytes, 0 underruns
     0 output errors, 0 collisions, 2 interface resets
     0 unknown protocol drops
     0 output buffer failures, 0 output buffers swapped out
     0 carrier transitions
     DCD=up  DSR=up  DTR=up  RTS=up  CTS=up

Router#sh cellular 0 network

Current Service Status = Normal, Service Error = None

Current Service = Combined

Packet Service = HSDPA (Attached)

Packet Session Status = Active

Current Roaming Status = Home

Network Selection Mode = Automatic

Country = RUS, Network = MegaFon

Mobile Country Code (MCC) = 250

Mobile Network Code (MNC) = 2

Location Area Code (LAC) = 7806

Routing Area Code (RAC) = 39

Cell ID = 40740

Primary Scrambling Code = 419

PLMN Selection = Automatic

Registered PLMN =  , Abbreviated =

Service Provider = MegaFon

Ну и в заключении весь тестовый конфигурациооный файл:

(там нет профиля, он храниться на модеме, Router#cellular 0 gsm profile create 3 fixedip.nw chap megafon megafon).

!

! Last configuration change at 10:14:00 UTC Tue Mar 25 2014

version 15.2

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname Router

!

boot-start-marker

boot-end-marker

!

!

!

aaa new-model

!

!

!

!

!

!

!

aaa session-id common

!

memory-size iomem 10

ip auth-proxy max-login-attempts 5

ip admission max-login-attempts 5

!

!

!

!

ip dhcp pool DPOOL

 network 192.168.0.0 255.255.255.0

 default-router 192.168.0.1 

 dns-server 8.8.8.8 8.8.4.4 

!

!

ip cef

no ipv6 cef

!

!

multilink bundle-name authenticated

chat-script MEGAFON "" "ATD*99*3#" TIMEOUT 30 CONNECT

!

!

!

!

!

!

controller Cellular 0

!

!

!

!

!

interface FastEthernet0

 no ip address

 spanning-tree portfast

!

interface FastEthernet1

 no ip address

 spanning-tree portfast

!

interface FastEthernet2

 no ip address

 spanning-tree portfast

!

interface FastEthernet3

 no ip address

 spanning-tree portfast

!

interface FastEthernet4

 no ip address

 duplex auto

 speed auto

!

interface Cellular0

 description uplink

 ip address negotiated

 ip nat outside

 ip virtual-reassembly in

 encapsulation ppp

 dialer in-band

 dialer idle-timeout 0

 dialer string "*99*3#"

 dialer string MEGAFON

 dialer-group 1

 async mode interactive

 ppp chap hostname megafon

 ppp chap password 0 megafon

 ppp ipcp dns request

!

interface Vlan1

 ip address 192.168.0.1 255.255.255.0

 ip nat inside

 ip virtual-reassembly in

!

ip forward-protocol nd

no ip http server

no ip http secure-server

!

!

ip nat inside source list NATACL interface Cellular0 overload

ip route 0.0.0.0 0.0.0.0 Cellular0 200

!

ip access-list extended NATACL

 permit ip 192.168.0.0 0.0.0.255 any

!

access-list 1 permit any

dialer-list 1 protocol ip list 1

!

!

!

!

control-plane

!

!

!

line con 0

line aux 0

line 3

 exec-timeout 0 0

 script dialer MEGAFON

 modem InOut

 no exec

 rxspeed 7200000

 txspeed 2000000

line vty 0 4

 transport input all

!

!

end

Источник: olegcisco.blogspot.ru/2014/03/3g-cisco-881.html