Cisco ASA 5505 - Ajuda a entender / atualizar a configuração

1

Deixe-me começar dizendo que não sou um administrador de rede e que esse firewall foi configurado originalmente por um consultor da Cisco que não está mais disponível.

Temos um pequeno escritório com um Cisco ASA 5505 e temos uma impressora baseada em IP. Esta impressora é acessível remotamente a um fornecedor para impressão de documentos contábeis. Como o fornecedor está mudando os ISPs, preciso atualizar o endereço IP público do fornecedor.

Se você observar os snippets abaixo, não sei ao certo por que eles não usaram o endereço exato da regra. Em vez disso, ele é xxx.xxx.xxx.0 e, em seguida, eles notaram o endereço IP público específico na descrição. Se não fosse melhor tê-lo como xxx.xxx.xxx.250 para começar?

Quando faço a atualização para o novo endereço IP público do fornecedor, não devo inserir o endereço IP público específico do qual eles estão vindo, em vez de permitir todo o public / 24 (a rede de onde vem o IP público)?

Aqui estão os snippets que eu posso encontrar na configuração, estes não são os IPs reais:

name 192.168.0.106 host-prt-000.106-printing01
name 192.168.0.107 host-prt-000.107-printing02
name XXX.XXX.XXX.0 vendor-srv-PrintingVendor description Specific Print Source: XXX.XXX.XXX.250

object network vendor-srv-PrintingVendor
 subnet XXX.XXX.XXX.0 255.255.255.0
 description AccountingVendor

object network host-prt-000.106-printing01
 host 192.168.0.106
 description accounting HP 

object network host-prt-000.107-printing02
 host 192.168.0.107
 description xerox 

Obrigado antecipadamente.

David

    
por david 12.03.2016 / 07:13

2 respostas

2

Não há regras de firewall reais aqui, são apenas nome - > Mapeamentos de endereço IP (intervalo) usados na configuração para facilitar a leitura da configuração.

No entanto, muito provavelmente, o consultor original queria deixar alguma flexibilidade para o endereço IP, caso o endereço IP da conexão de entrada seja alterado.

Se tiver certeza de que a conexão de entrada sempre vem de um endereço IP específico, você poderá alterar o endereço IP do objeto para aquele, ou seja, substituir a linha subnet por uma linha host semelhante aos objetos abaixo.

Em outra observação, eu não deixaria nenhum endereço IP externo se conectar diretamente a uma rede interna, eu configuraria uma VPN para essa finalidade.

    
por 12.03.2016 / 20:02
2

A parte da configuração que você postou não contém regras NAT ou ACLs (ambas relacionadas a permitir que um IP remoto seja impresso em uma impressora em sua rede).

object network vendor-srv-PrintingVendor

Este é um objeto de rede. Nos roteadores Cisco, você pode definir objetos de rede pelo nome, para que não precise memorizar os endereços IP.

Então, para o objeto vendor-srv-PrintingVendor

object network vendor-srv-PrintingVendor
subnet XXX.XXX.XXX.0 255.255.255.0
description AccountingVendor

Isto está definindo um objeto de rede. O objeto é uma rede XXX.XXX.XXX.0 255.255.255.0. O nome é vendor-srv-PrintingVendor, o que significa que, em vez de digitar XXX.XXX.XXX.0 255.255.255.255.0 cada vez que você precisar adicioná-lo em sua configuração, basta referenciar o objeto usando o vendor-srv-PrintingVendor.

O que você pode fazer é alterar o nome do objeto de vendor-srv-PrintingVendor para vendor-srv-PrintingVendor-Network e criar um novo objeto chamado vendor-srv-PrintingVendor-PrintSource. Você criaria isso como um host em vez de uma sub-rede, então seu código seria esse.

object network vendor-srv-printingVendor-PrintSource
host XXX.XXX.XXX.250
description Accounting Vendor Print Source

Se você puder nos informar se este é um Catalyst, ASA, etc., o número do modelo e se é um ASA, a versão do software (não o número da versão ASDM, mas o número da versão ASA) que ajudará você sobre as regras de ACLs e NAT.

Quando se trata de criar uma ACL para este sim, você desejará usar o endereço IP específico e não a rede inteira, que é o que o objeto atual lhe oferece.

    
por 12.03.2016 / 20:53