cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Avisos
Developers-novedades
2695
Visitas
5
ÚTIL
4
Respuestas
yesenia-m
Beginner

Negar toda la salida a internet y solo permitir una URL en ASA 5505

Hola, buen dia

Tenemos un asa 5505 con licencia base, se requiere que para ciertas IP no se tenga salida a internet y solo permitir el acceso al mail que se encuentra en la nube, se puede realizar por expresiones regulares? alguien tendrá una guia donde pudiera revisar la manera de realizarlo.

Agradezco enormemente su apoyo.

Saludos

2 SOLUCIONES ACEPTADAS

Soluciones aceptadas
Itzcoatl Espinosa
Cisco Employee

Yesenia,

Si lo que se desea es bloquear internet, excepto para ciertas direcciones IP, podrías aplicar una lista de acceso en la interfaz interna bloqueando internet y permitiendo mail.

Ejemplo

access-list inside_in deny tcp host 1.1.1.1 any eq 80

access-list inside_in deny tcp host 1.1.1.1 any eq 443

access-list inside_in permit tcp 1.1.1.0 255.255.255.0  any eq 80

access-list inside_in permit tcp 1.1.1.0 255.255.255.0  any eq 443

access-list inside_in permit  tcp any any eq 25

access-group inside_in in interface inside

Espero ayude

Saludos.

Itzcoatl

Ver la solución en mensaje original publicado

Edgar Servin
Beginner

Hola Yesenia.

Si tu mail usa https en la nube, no podras hacerlo con expresiones regulares debido a la encriptación ssl.

Ya pase por lo mismo, solo resulta para conexiones http

Lo mejor seria si no te queda otra, usar acl con la ip address destino como te indican arriba.

Espero te sirva.

Ver la solución en mensaje original publicado

4 RESPUESTAS 4
DUYE00017
Beginner
Itzcoatl Espinosa
Cisco Employee

Yesenia,

Si lo que se desea es bloquear internet, excepto para ciertas direcciones IP, podrías aplicar una lista de acceso en la interfaz interna bloqueando internet y permitiendo mail.

Ejemplo

access-list inside_in deny tcp host 1.1.1.1 any eq 80

access-list inside_in deny tcp host 1.1.1.1 any eq 443

access-list inside_in permit tcp 1.1.1.0 255.255.255.0  any eq 80

access-list inside_in permit tcp 1.1.1.0 255.255.255.0  any eq 443

access-list inside_in permit  tcp any any eq 25

access-group inside_in in interface inside

Espero ayude

Saludos.

Itzcoatl

Si sólo se va a permitir una URL, podrías hacerlo con base en dirección IP en el ACL mencionada, sin tener que usar expresiones regulares.

Saludos

Itzcoatl

Edgar Servin
Beginner

Hola Yesenia.

Si tu mail usa https en la nube, no podras hacerlo con expresiones regulares debido a la encriptación ssl.

Ya pase por lo mismo, solo resulta para conexiones http

Lo mejor seria si no te queda otra, usar acl con la ip address destino como te indican arriba.

Espero te sirva.

Crear
Reconozca a un colega
Content for Community-Ad