PDA

View Full Version : Help !!! Làm sao để các subinterface cùng security level thấy được nhau


muadohieu
04-10-2008, 10:19 AM
Hi all !!!
Con firewall mình có 1 cổng outside, inside và 1 interface lan, interface này chia ra các subinterface
subinterface 1: DMZ security level 80
subinterface 2: LAn1 security level 90
subinterface 3: LAn2 security level 90
Mình có thể nat lan1,lan2 thành 1 ip thuộc DMZ để có thể cho lan1, lan2 vào DMZ nhưng không thể nào nat để lan1, lan2 thấy được nhau.
Làm sao để các subinterface cùng level Lan1, Lan2 thấy nhau được.
( mình không muốn dùng trunk vlan hay thay đổi security level)
dangquangminh
04-10-2008, 10:33 AM
bạn dùng lệnh

same-security-traffic permit inter-interface
muadohieu
06-10-2008, 11:55 AM
:X:X:X thanks very much, i did it.
minhnt81
05-11-2008, 05:30 PM
ban ơi cho mình hỏi là: mình có 1 con asa5510 có 4 interface, 1 interface outside, 1 inside, 1 DMZ
VD : DMZ va inside cùng security level 100
outside security level 0
Giờ mình muốn config thế nào để cho inside truy câp dc port 80,3389 > DMZ
và DMZ truy cập dc port 80 vào 1 máy nào đó trong inside
tranmyphuc
05-11-2008, 11:21 PM
ban ơi cho mình hỏi là: mình có 1 con asa5510 có 4 interface, 1 interface outside, 1 inside, 1 DMZ
VD : DMZ va inside cùng security level 100
outside security level 0
Giờ mình muốn config thế nào để cho inside truy câp dc port 80,3389 > DMZ
và DMZ truy cập dc port 80 vào 1 máy nào đó trong inside

Chào,
Bạn vào đây thử xem : http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00807d287e.sht ml

Chúc vui .
nguyenquocle
05-11-2008, 11:33 PM
chào bạn!!!khi 2 interface(inside và outside) bạn đã cùng security level là 100 thì có thể sử dụng câu lệnh same-security-traffic permit inter-interface lúc đó mọi ứng dụng đều có thể qua lại với nhau.
lưu ý: khi sử dụng câu lệnh trên đồng nghĩa với việc khi 1 máy ở vùng dmz bị chiếm quyền kiễm soát sẽ có thể đi ngay vào inside típ tục tấn công nên vùng dmz khuyến cáo để security-level là 80 khi đó đơn giản bạn mún forward traffic đi từ DMZ vào port 80 cổng INSIDE chỉ cần tạo 1 access-list DMZ-INSIDE permit tcp any host host-ip-address eq 80. mặc định hướng traffic đi từ inside ra dmz sẽ ko bị cấm!!!
danghoangkhanh
05-11-2008, 11:44 PM
ban ơi cho mình hỏi là: mình có 1 con asa5510 có 4 interface, 1 interface outside, 1 inside, 1 DMZ
VD : DMZ va inside cùng security level 100
outside security level 0
Giờ mình muốn config thế nào để cho inside truy câp dc port 80,3389 > DMZ
và DMZ truy cập dc port 80 vào 1 máy nào đó trong inside

Hi, dùng Nat port forwarding đấy.


asa1(config)# static (dmz,outside) tcp [IP Outside] 80 [IP DMZ Server] 80 netmask 255.255.255.255
asa1(config)# static (dmz,outside) tcp [IP Outside] 3389 [IP DMZ Server] 3389 netmask 255.255.255.255