Web Server, DMZ en Cisco ASA 5505.

David Aguirre · ‎01-16-2013

Hola a todos!!!

Quisiera consultar lo siguiente; estoy configurando un Cisco ASA 5505 (Base Licence), ya tengo configurado el INSIDE, OUTSIDE y el DMZ en el outside he colocado mi IP pública, en el inside he dejado 192.168.1.1 (No he podido cambiarla) y en el DMZ 176.16.10.10. (por el tipo de licencia he tenido que escoger entre bloquear el INSIDE o el OUTSIDE para el DMZ y he escogido el INSIDE para dejar libre todo lo que entra desde fuera). La pregunta concreta reside en que tengo que hacer para implementar mi Servidor Web, he leido sobre NAT y estoy utilizando el ASDM 6.4.

Muchas gracias por la ayuda.

Julio Carvajal · ‎01-16-2013

Hola,

Ocupas configurar NAT y las listas de acceso respectivas,

Porfavor provee la siguiente informacion.

Version del asa que corres ( Show version)

Posteriormente te enviare la configuracion necesaria

Saludos desde Costa Rica

Julio Carvajal

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIP-SEC

David Aguirre · ‎01-17-2013

Muchas gracias Julio;

La información es la siguiente:

Cisco Adaptive Security Appliance Software Versión 8.2 (5)
Device manager versión 6.4(5)
Cisco ASDM 6.4

Espeo tu respuesta y ayuda.

Saludos cordiales.

Julio Carvajal · ‎01-17-2013

Okey entonces vas a tratar de accessar un host en el DMZ correcto, servidor web

si es asi ( digamos que la Ip de ese servidor es 176.16.10.15 y quieres traducirlo a la Ip de la interface del ASA en puerto 80 y 443)

static (dmz,outside) tcp interface 80 176.16.10.10 80

static (dmz,outside) tcp interface 443 176.16.10.10 443

access-list out_in permit tcp any x.x.x.x ( ip address of outside interface) eq 443

access-list out_in permit tcp any x.x.x.x ( ip address of outside interface) eq 80

access-group out_in in interface outside

Saludos

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIP-SEC

David Aguirre · ‎01-17-2013

Muchas gracias;

Ahora mismo no puedo trabajarlo en consola debido a que no tengo los elementos para acceder de esa manera; lo estoy haciendo con el ASDM;

Con el código que me has dado lo que supongo es: Añadir NAT Static Rule con la dirección 176.16.10.10 y en el PAT.

y con lo de "acces-list" pienso que es con reglas de acceso?

Espero tus comentarios.

Julio Carvajal · ‎01-17-2013

Exacto, eso es redireccionamiento de puertos y listas de acceso,

Saludos,

Recuerda calificar todas las respuestas

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIP-SEC

David Aguirre · ‎01-18-2013

Hola julio buen día;

Te comento que he realizado las indicaciones a través del ASDM, adjunto encontraras capturas de pantalla de lo que hice, he intentado acceder por medio de mi IP pública y sigo sin conseguirlo, me he dado cuenta que en la interfaz me aparece DMZ el link y line en DOWN.

Donde tendre el problema?

Muchas gracias por tu ayuda.

Julio Carvajal · ‎01-18-2013

Down/Down..

Verifica que tienes un cable conectado al puerto del DMZ pero tambien podria ser que no has asignado ningun puerto a esa vlan

Verifica la configuracion de las interfaces y deberias de ver una que diga

switchport access vlan # donde ese numero es la vlan del DMZ

Saludos

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIP-SEC

David Aguirre · ‎01-18-2013

Hola Julio;

Ya tengo el DMZ Line y Link UP (Lo tenia en el puerto dos y es el tres el asignado).

Te muestro capturas de la configuración Ports, NAT y reglas.

Aun sigo sin acceder desde la IP Pública.

Saludos.

Julio Carvajal · ‎01-21-2013

Buenas David,

Debo revisar la configuracion, la podrias compartir o enviar en un mensaje privado?

Julio Carvajal
Senior Network Security and Core Specialist
CCIE #42930, 2xCCNP, JNCIP-SEC

David Aguirre · ‎01-23-2013

Gracias Julio;

Ya te he enviado un mensaje con la Configuración

Saludos.