Comprar o Renovar
Comprar o Renovar
cancelar
Activar sugerencias
La sugerencia automática le ayuda a obtener, de forma rápida, resultados precisos de su búsqueda al sugerirle posibles coincidencias mientras escribe.
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Iniciar una conversación
994
Visitas
0
ÚTIL
7
Respuestas

DMZ ASA 5510

Ir a solución
Arielrt17
Level 1
Level 1

el ‎10-01-2018 08:36 AM

Buenas, necesito ayuda con los siguiente si es posible,tengo configurado un dmz en el cual existe un webserver, he configurado los respectivos nats y access-list, al utilizar la herramienta packet-tracer utilizando la ip publica los paquetes alcanzan la DMZ sin ningún problema, pero al acceder desde Internet a la ip publica y su respectivo puerto en el log del ASA se registra lo siguiente: Inbound tcp connection denied from 186.1.85.167/47717 to xxx.xxx.xxx.xx/443 flag syn on interface outside. Cual puede ser la causa de esto?

PD: Corre sobre ASA 8.2(5).

 

Saludos

Etiquetas:
0 Útil
1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

Ir a solución
Arielrt17
Level 1
Level 1
En respuesta a Diana Karolina Rojas

el ‎10-04-2018 02:15 PM

Si, Utilice el siguiente nat: static (DMZ,OUTSIDE) tcp Public-ip https SAN https netmask 255.255.255.255, 

y el siguiente Access-list: access-list inbound extended permit tcp any host Public-ip eq https.

de igual forma muchas gracias por sus respuestas.

Ver la solución en mensaje original publicado

0 Útil
7 RESPUESTAS 7

Ir a solución
Julio E. Moisa
VIP
VIP

el ‎10-01-2018 12:26 PM

Hola

Puedes por favor compartir la configuración del NAT estatico que estas utilizando para acceder desde Internet, adicional recomiendo que se actualice la imagen del ASA, ya que la actual (8.2(5)) puede contener vulnerabilidades, eso lo puedes hacer en un futuro y se recomienda que revises los saltos para evitar inconvenientes.

 

Saludos 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<
0 Útil

Ir a solución
Arielrt17
Level 1
Level 1
En respuesta a Julio E. Moisa

el ‎10-01-2018 12:35 PM

Saludos, el nat estático que utilizo es el siguiente:

static (DMZ,OUTSIDE) tcp 172.16.251.2 http Public-ip 8443 netmask 255.255.255.255.

siendo Public-ip diferente a la ip publica de la interfaz OUTSIDE.

Respecto a la actualización de la imagen del ASA esta contemplada  para un futuro.

 

Gracias de antemano.

 

0 Útil

Ir a solución
Arielrt17
Level 1
Level 1
En respuesta a Arielrt17

el ‎10-01-2018 12:37 PM

Perdón era: static (DMZ,OUTSIDE) tcp 172.16.251.2 https Public-ip https netmask 255.255.255.255.

0 Útil

Ir a solución
Diana Karolina Rojas
Cisco Employee
Cisco Employee

el ‎10-04-2018 01:52 PM

¿Como estas estimado?

 

¿Pudiste resolver el inconveniente? en tu caso revisaría las rutas y los permisos configurados ¿qué viste en los Logs del ASA en el ASDM?

 

Saludos,

0 Útil

Ir a solución
Arielrt17
Level 1
Level 1
En respuesta a Diana Karolina Rojas

el ‎10-04-2018 02:15 PM

Si, Utilice el siguiente nat: static (DMZ,OUTSIDE) tcp Public-ip https SAN https netmask 255.255.255.255, 

y el siguiente Access-list: access-list inbound extended permit tcp any host Public-ip eq https.

de igual forma muchas gracias por sus respuestas.

0 Útil

Ir a solución
Hilda Arteaga
Cisco Employee
Cisco Employee
En respuesta a Arielrt17

el ‎10-04-2018 02:27 PM

gracias por compartir la solución @Arielrt17

0 Útil

Ir a solución
Hilda Arteaga
Cisco Employee
Cisco Employee
En respuesta a Diana Karolina Rojas

el ‎10-04-2018 02:27 PM

Hola @Diana Karolina Rojas que gusto leerte, gracias por indagar en este tema 

0 Útil

Navegue y encuentre contenido personalizado de la comunidad

Documentos de Seguridad Videos de Seguridad Otros Eventos de Seguridad
Customers Also Viewed These Support Documents