Eu obviamente não estou fazendo algo certo (e a Cisco definitivamente não é meu strong, não tenho nada comigo), mas não estou tendo sorte em configurar a filtragem de saída da rede interna para o exterior, com o objetivo de negando todo o tráfego de saída, exceto pelo servidor HTTP Proxy (Squid) que também está executando DNS, NTP, etc.
Se eu remover todas as minhas regras de ACL, tudo funcionará bem: o NAT é bom (o NAT duplo é bom), posso navegar na Web, etc.
No entanto, o que eu pensei estava correto (e eu já passei por uma pilha de documentação confusa, alguns da versão errada, daí meus problemas na Cisco), não parece trabalho, embora de forma inconsistente.
Fazendo um teste de telnet, a primeira vez que eu aplico o access-group
funciona. Pressione CTRL-] para escapar, pressione a tecla, execute o comando novamente, expire. Remova todas as atribuições de grupo de acesso, não funciona. Volte para verificar (enquanto digito isso) e o telnet funciona novamente.
Ligado o registro de depuração, o registro de demonstração confirma que os pacotes estão sendo descartados, mas não parece correto e acho que posso estar aplicando minhas regras na interface errada ou na direção errada.
Veja algumas informações relativas:
Servidor: 192.168.2.5/24
Dentro: 192.168.2.0/24
Fora: 10.0.0.254/24 (< - ambiente de teste, tem IP na minha LAN real).
Este é o meu snippet relativo da minha configuração:
access-list server_out extended permit tcp host 192.168.2.5 any eq www
global (outside) 10 interface
nat (inside) 10 192.168.2.0 255.255.255.0
access-group server_out in interface inside
Mais uma vez, alguns minutos atrás eu não tinha linha de grupo de acesso e funcionou. Eu também estou tentando isso de várias máquinas e outra máquina em 192.168.2.0/24 trabalhou uma ou duas vezes (até alguns minutos atrás), mesmo que não haja nenhuma regra de permissão lá como você pode ver, e assumi que a regra de negação padrão se aplicaria assim que você cria uma ACL.
EDITAR
Aqui estão alguns registros para o seu prazer de visualização - este é um telnet de sucesso para um servidor web na minha LAN real (10.0.0.12):
%ASA-6-305011: Built dynamic TCP translation from inside:192.168.2.5/36097 to outside:10.0.0.254/57787
%ASA-6-302013: Built outbound TCP connection 172 for outside:10.0.0.12/80 (10.0.0.12/80) to inside:192.168.2.5/36097 (10.0.0.254/57787)
Aqui está a mesma solicitação, alguns segundos depois, sem alterações na configuração:
%ASA-2-106001: Inbound TCP connection denied from 192.168.2.5/36100 to 10.0.0.12/80 flags FIN ACK on interface outside
%ASA-2-106001: Inbound TCP connection denied from 192.168.2.5/36101 to 10.0.0.12/80 flags SYN on interface outside
EDIT2
: Saved
:
ASA Version 8.0(5)
!
terminal width 120
hostname some-host
enable password ***** encrypted
passwd ***** encrypted
names
!
interface Vlan1
nameif dmz
security-level 50
ip address 192.168.1.1 255.255.255.0
!
interface Vlan2
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Vlan3
nameif outside
security-level 0
ip address 10.0.0.254 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 3
!
interface Ethernet0/1
!
interface Ethernet0/2
switchport access vlan 2
!
interface Ethernet0/3
switchport access vlan 2
shutdown
!
interface Ethernet0/4
switchport access vlan 2
shutdown
!
interface Ethernet0/5
switchport access vlan 2
shutdown
!
interface Ethernet0/6
switchport access vlan 2
shutdown
!
interface Ethernet0/7
switchport access vlan 2
shutdown
!
boot system disk0:/asa805-k8.bin
ftp mode passive
access-list inside_out extended permit tcp host 192.168.2.5 any eq www
pager lines 24
logging enable
logging buffered debugging
mtu dmz 1500
mtu inside 1500
mtu outside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (outside) 10 interface
nat (inside) 10 192.168.2.0 255.255.255.0
access-group inside_out in interface inside
route outside 0.0.0.0 0.0.0.0 10.0.0.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:1234567890
: end