Configuration Firewall ASA 5510

**Heleplanchiste** · 28/08/2013, 09h10

Bonjour,
j'ai une question/problème, voilà la configuration de mon réseau:

Je n'arrive pas à sortir de mon réseau privé (backbone avec 10.0.0.0 255.0.0.0) sur mon routeur vdsl puis internet (les pings dans le réseau interne marche, je peux ping depuis le firewall vers internet et idem pour mon routeur vdsl, mais impossible de ping depuis un routeur interne vers l'exterieur. Je ne passe pas le firewall).

voilà ma config:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
Fw-EmfNet# wr t
: Saved
:
ASA Version 7.1(2)
!
hostname Fw-EmfNet
enable password bBjM9TbPj/QSoEaU encrypted
names
!
interface Ethernet0/0
 nameif DMZ
 security-level 50
 ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.0.0.10 255.255.255.248
!
interface Ethernet0/2
 nameif outside
 security-level 0
 ip address 192.168.0.1 255.255.255.0
!
interface Management0/0
 nameif management
 security-level 99
 ip address 192.168.2.1 255.255.255.0
 management-only
!
passwd jnGXdKddGYH4NZHV encrypted
ftp mode passive
access-list 101 extended permit tcp any any eq ftp-data
access-list 101 extended permit tcp any any eq ftp
access-list 101 extended permit tcp any any eq telnet
access-list 101 extended permit tcp any any eq www
access-list 101 extended permit tcp any any eq 443
access-list 101 extended permit udp any any eq 443
access-list 101 extended permit udp any any eq domain
access-list 101 extended permit udp any eq domain any
access-list 101 extended permit tcp any any eq domain
access-list 101 extended permit tcp any eq domain any
pager lines 24
mtu DMZ 1500
mtu inside 1500
mtu outside 1500
mtu management 1500
no asdm history enable
arp timeout 14400
global (DMZ) 1 192.168.1.2
global (outside) 1 192.168.0.3
nat (DMZ) 1 192.168.1.0 255.255.255.0
nat (inside) 1 10.0.0.0 255.0.0.0
static (DMZ,outside) 192.168.0.4 192.168.1.4 netmask 255.255.255.255
static (inside,DMZ) 10.0.0.0 10.0.0.0 netmask 255.0.0.0
access-group 101 in interface inside
access-group 101 out interface inside
access-group 101 in interface outside
access-group 101 out interface outside
route outside 0.0.0.0 0.0.0.0 192.168.0.2 1
!
router ospf 1
 network 10.0.0.8 255.255.255.248 area 0
 log-adj-changes
!
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no service password-recovery
telnet timeout 5
ssh 192.168.2.6 255.255.255.255 management
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:099443d7ec112ea38b4450102dbaa4ba
: end
[OK]
Fw-EmfNet#

Je précise que telnet ne marche pas non plus mais serait supposé marcher...j'ai aussi tenté de supprimer les ACL et d'en mettre une autorisant tout ( permit ip any any).

J'espère avoir été clair et que quelqu'un puisse m'apporter son aide.

**Cybher** · 28/08/2013, 12h09

salut,

donc depuis ton firewall, ca fonctionne?
est ce que cela fonctionne depuis ton routeur en 10.0.0.9?

**Heleplanchiste** · 28/08/2013, 13h13

ça passe depuis le firewall, mais pas depuis le routeur 10.0.0.9 ça ne passe pas avec cette config, maintenant j'ai réussit à le faire passé avec cette access-list:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

access-list 101 extended permit ip any any

Le seul soucis c'est que je trouve vraiment pas cette solution pro étant donnée qu'elle laisse mon sous réseau très vulnérable depuis l'extérieur.

voilà la nouvelle conf de mon firewall:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
Fw-EmfNet# wr t
: Saved
:
ASA Version 7.1(2)
!
hostname Fw-EmfNet
enable password bBjM9TbPj/QSoEaU encrypted
names
!
interface Ethernet0/0
 nameif DMZ
 security-level 50
 ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 10.0.0.10 255.255.255.248
!
interface Ethernet0/2
 nameif outside
 security-level 0
 ip address 192.168.0.1 255.255.255.0
!
interface Management0/0
 nameif management
 security-level 99
 ip address 192.168.2.1 255.255.255.0
 management-only
!
passwd jnGXdKddGYH4NZHV encrypted
ftp mode passive
access-list 101 extended permit ip any any
pager lines 24
mtu DMZ 1500
mtu inside 1500
mtu outside 1500
mtu management 1500
no asdm history enable
arp timeout 14400
global (DMZ) 1 192.168.1.2
global (outside) 1 192.168.0.3
nat (DMZ) 1 192.168.1.0 255.255.255.0
nat (inside) 1 10.0.0.0 255.0.0.0
static (DMZ,outside) 192.168.0.4 192.168.1.4 netmask 255.255.255.255
static (inside,DMZ) 10.0.0.0 10.0.0.0 netmask 255.0.0.0
access-group 101 in interface inside
access-group 101 out interface inside
access-group 101 in interface outside
access-group 101 out interface outside
route outside 0.0.0.0 0.0.0.0 192.168.0.2 1
!
router ospf 1
 network 10.0.0.8 255.255.255.248 area 0
 log-adj-changes
!
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
no service password-recovery
telnet timeout 5
ssh 192.168.2.6 255.255.255.255 management
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end
[OK]
Fw-EmfNet#

Je chercherais à ne laissez passer que les protocoles suivant HTTP et FTP (dois-je laisser passer une DNS aussi?).

Es que la solution se trouve dans la création de plusieurs acl différentes en fonctions des interfaces où celle-ci s'applique?

Du style Inside -> DMZ tous laisser passer, Inside -> Outside laisser passer http, https,...etc, de Outside vers dmz que laisser http (à voir en fonction de ce qui se trouve sur notre dmz si c'est des serveurs web, ftp,...) et de Outside -> inside ne rien laisser passer à part les connexion qui ont été demandé depuis l'inside?

**Cybher** · 28/08/2013, 13h20

dans ta 1ere configuration, le ping n'étant pas autorisé niveau access list ca ne devait pas pouvoir fonctionner.

En effet, sinon tu as besoin de laisser passer le dns pour la resolution de nom. actuellement as tu un serveur DNS interne? si oui il y a juste lui qui a besoin de sortir pour le DNS.

En effet plusieurs ACL en fonction de tes interfaces et donc des flux que tu veux autorisé , cela sera beaucoup mieux

**Heleplanchiste** · 28/08/2013, 13h35

Mais dois-je les regrouper sous différentes listes en fonctions de l'interface et du [in/out]?

avec par exemple l'access-group 101 en in interface inside, la 102 en in outside,...?

(sinon merci déjà pour l'aide jusqu'ici ça m'as pas mal fait avancé

)

Pour le DNS non, pour le moment aucun serveur DNS n'est installé ou configuré. (pour tester je le configure moi même sur la machine avec l'adresse 8.8.8.8 des serveurs DNS de google).

**Heleplanchiste** · 28/08/2013, 15h42

Toujours aucun résultat, j'ai essayé avec ces acl:

ACCESS-LIST en IN/OUT sur mon interface INSIDE autorisant L'INSIDE à aller sur la DMZ:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 eq ftp-data
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 eq ftp
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 eq telnet
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 eq www
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 eq 443
access-list 101 extended permit udp 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 eq 443
access-list 101 extended permit udp 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 eq domain
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 eq domain

ACCESS-LIST en IN/OUT sur l'interface INSIDE autorisant l'INSIDE à aller sur L'OUTSIDE:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.248 eq ftp-data
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.248 eq ftp
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.248 eq telnet
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.248 eq www
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.248 eq 443
access-list 101 extended permit udp 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.248 eq 443
access-list 101 extended permit udp 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.248 eq domain
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.248 eq domain

ACCESS-LIST en IN/OUT sur l'interface OUTSIDE autorisant l'OUTSIDE à aller sur la DMZ:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
access-list 102 extended permit tcp 192.168.0.0 255.255.255.248 192.168.1.0 255.255.255.0  eq www
access-list 102 extended permit tcp 192.168.0.0 255.255.255.248 192.168.1.0 255.255.255.0 eq 443
access-list 102 extended permit udp 192.168.0.0 255.255.255.248 192.168.1.0 255.255.255.0 eq 443

Et là je place mes interfaces:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
access-group 101 in interface inside
access-group 102 in interface outside
access-group 101 out interface inside
access-group 102 out interface outside

Je sais pas si vous voyez une erreur commise ou le pourquoi une fois placé tel quel je n'ai plus accès à internet avec un post se trouvant dans mon réseau local...

Merci de l'aide en tout cas!

**Cybher** · 28/08/2013, 17h57

hello,

sur ACCESS-LIST en IN/OUT sur l'interface INSIDE autorisant l'INSIDE à aller sur L'OUTSIDE: il faut autoriser à aller vers 0.0.0.0 pour autoriser l'accès à internet.
Et il faut aussi autoriser le DNS

**Heleplanchiste** · 29/08/2013, 08h32

J'ai bien rajouté les trois ACL suivante, mais cela ne fonctionne toujours pas:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 any
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 any eq domain
access-list 101 extended permit udp 10.0.0.0 255.0.0.0 any eq domain

(l'adresse 0.0.0.0 équivalent à any, non?)

**Heleplanchiste** · 29/08/2013, 08h51

Bon alors j'ai une solution qui marche mais qui n'est pas entièrement satisfaisante...en effet pour que cela marche je n'active que l'acl 101 en IN sur l'interface INSIDE donc j'autorise mon traffic de l'inside vers Outside et DMZ. Mais je n'autorise pas l'outside vers la DMZ (Dans ce cas de figure le télé travail est impossible depuis chez sois si on a besoins de documents se trouvant sur des serveurs de la boîte).

Voilà les ACLs misent en places:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 eq ftp-data
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 eq ftp
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 eq telnet
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 eq www
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 eq 443
access-list 101 extended permit udp 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 eq 443
access-list 101 extended permit udp 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 eq domain
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 eq domain


access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.248 eq ftp-data
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.248 eq ftp
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.248 eq telnet
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.248 eq www
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.248 eq 443
access-list 101 extended permit udp 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.248 eq 443
access-list 101 extended permit udp 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.248 eq domain
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 192.168.0.0 255.255.255.248 eq domain
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 any
access-list 101 extended permit tcp 10.0.0.0 255.0.0.0 any eq domain
access-list 101 extended permit udp 10.0.0.0 255.0.0.0 any eq domain