Bonjour,
dans le cadre de l'utilisation d'un ASA sur le reseau de l'entreprise dans laquelle je suis en stage, j'ai commencer à le prendre en main.
Après avoir tester le firewall en mode router avec succès, j'ai décidé de me familiariser avec le mode transparent. Mais j'ai quelques soucis...
- Sur l'interface eth0, j'ai relié un pc faisant office de serveur et sur eth1 est relié le réseau local.
- J'ai "tout" ouvert au niveau des ACLS (sécurité level égal pr eth0 et 1 avec permission de trafic entre les 2) pour mon test mais pour n'importe quel type de trafic j'ai un built suivi d'un teardown.
Ex pour ICMP :
... Built ICMP connection for faddr 10.1.230.23/512 gaddr 10.1.200.23/0 laddr 10.1.200.23/0
....Teardown ICMP connection for faddr 10.1.230.23/512 gaddr 10.1.200.23/0 laddr 10.1.200.23/0
Donc rien ne passe, j'ai probablement du passer à côté d'une évidence à force de chercher, voici la conf du firewall :
ASA Version 7.2(2)
!
firewall transparent
hostname ciscoasa
domain-name XXXXXXX
enable password TMRT0mmECawIPsYV encrypted
names
!
interface Ethernet0/0
nameif Serveur
security-level 0
!
interface Ethernet0/1
nameif Lan
security-level 0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
!
interface Ethernet0/3
shutdown
no nameif
no security-level
!
interface Management0/0
nameif management
security-level 0
ip address 192.168.1.1 255.255.255.0
management-only
!
passwd XXXXXXXX encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name XXXXXXX
same-security-traffic permit inter-interface
access-list Lan_access_in extended permit ip any any
access-list Serveur_access_in extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu Serveur 1500
mtu Lan 1500
mtu management 1500
ip address 10.1.0.50 255.255.0.0
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-522.bin
asdm history enable
arp timeout 14400
access-group Serveur_access_in in interface Serveur
access-group Lan_access_in in interface Lan
route management 192.168.1.0 255.255.255.0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect icmp
!
service-policy global_policy global
prompt hostname context
...
Merci d'avance...
Configuration: Windows XP
Internet Explorer 7.0
Config routeur cisco asa 5505
