17.Видео уроки Cisco Packet Tracer. Курс молодого бойца. DMZ

Спасибо большое за Видеоуроки, лучшие просто, прям вот песня, очень хорошие, всей группой на практике сидим, делаем это всё и ничерта не понимаем, лайкос, обеспечен, ауе братюнь😊

eugene

Вот на этих уроках 16, 17 действительно становится тяжело, особенно постоянно путаюсь с inside, outside. Но это, я думаю придет с опытом. Спасибо огромное за уроки. Даже спустя столько лет очень актуально

Maks-yhuw

Большое спасибо автору за уроки, надеюсь просмотреть еще раз и сделать сам. Удачи вам!

John

Хорошо что в новых версиях добавили новый ASA с лицензией - "This platform has an ASA 5506 Security Plus license."

dv

добрый день, спасибо большое за ваши уроки, подскажите пожалуйста, такой вопрос, я настроил сеть в эмуляторе так, как указано в ролике, все работает как нужно, но если снести аксес листы для доступа к dmz на внешнем интерфейсе asa, то от dmz перестаёт пинговаться внешний сервер, разве так должно быть? ведь инспектирование на asa для icmp настроено на всех интерфейсах.
Спасибо

joudzhn

Здравствуйте, а можно ли с такой настройкой с Пк0 и Пк1 скачивать файлы с сервера зоны ДМЗ?

pzuwweu

Здравствуйте! Вопрос следующий - в варианте с DMZ на роутере, сервер из DMZ пингует внешний сервер, но web-трафик не проходит(через браузер внешний сервер не доступен), почему так происходит?

tvhateoriginal

на 27:55 можно ли было, в целях безопасности, указать всю сеть ДМЗ?

yungyeeze

Ничего не понял... Объясните плиз, почему нельзя вместо этого CBAC просто сделать аксес лист FROM-OUTSIDE следующего содержания:
permit ip any host 210.210.0.2
permit ip any host 210.210.3.2
???

blinchtozappc

Правило на 27:46 безопаснее заменить на запрет ЛЮБОМУ адресу на этом интерфейсе ходить в локалку. Иначе, например, при добавлении еще одного сервера в DMZ зону либо компрометации сервера правило перестанет работать. Нужен запрет именно для всех адресов из DMZ - никто не мешает на скомпрометированном сервере поменять/добавить адрес из той же сети.

sergeyzhukov

Приветствую, спасибо за видео, очень помогают! Вопрос общего характера - какое средство мониторинга, из официальных решений циско через web, посоветуете?

LightningTrooper

У вас опечатка:fairewall, полагаю должно быть firewall.

headdstrong

Можно ли в Cisco Packet Tracer настроить PAT на ASA? В частности допустим надо пробросить порт до внутреннего web-сервера

helgss

До 16 урока все шло нормально, в моем случае. Если раньше с полученными знаниями я мог делать все что угодно, то теперь могу только тупо повторить, не понимая откуда какая команда взялась. Дальше будет VPN, просто послушаю в третий раз..(частный случай))

russz

ок... сам разобрался... оказывается в маршрутизаторах на sub-интерфейсах нет вообще команды ip inspect (ну это только в "cisco packet tracer" в "GNS" эта команда есть)... у меня таки получилось всё настроить... только установил испектирование трафика не на входе на котором висят sub-интерфейсы а на выходе в интернет, и на выходе в DMZ-зону... всё работает... из DMZ-зоны и из интернета доступа во внутреннюю сеть нет... а у внутренней сети есть доступ и в интернет и на сервер в DMZ-зоне... но опять таки вопрос... (возможно глупый) опасен ли такой вариант и не даёт ли он дополнительную нагрузку на маршрутизатор?...

MasterShaytan

нужно этот урок переснять т.к. сейчас добавили 5506-Х и там лицензия - This platform has an ASA 5506 Security Plus license.

bugzoxh

У меня почему то сервер 3.2 не пингуется. В случае с маршрутизатором. Лабу скачал и ничего не поменялось.

brannn

День добрый.
У меня вопрос, ответы на который я не могу найти второй день)
По поводу CBAC.
Вариант 1: Коммутатор Л3 втопологии звезда. На нем созданы ВЛАНЫ для локальной сети.
В настройках интерфейсов нет параметра ip inspect.
Вариант 2: Роутер на палочке. Соединен с коммутатором Л3. На роутере созданы сабинтерфейсы для ВЛАНОВ. В настройках интерфейсах ip inspect присутствует, однако в настройках САБ_интерфейса, ip inspect отсутствует.
Также, параметр ip inspect даже на физических интерфейсах отсутствует в роутерах 2901 и старше.
Таким образом, не удалось включить инспектирование. И. таким образом, запретив доступ из влана веб-серверов, пропал также доступ к этим серверам из локалки.
Подскажите, отсутствие настроек связано с ограничениями packet tracer, это данный момент втретится и на реальном оборудовании?
И, в данном случае, как решить задачу создания DMZ (роутер на палочке)?

hooliganDm

а почему во второй части урока (с роутером) настройка проходила не на sub-интерфейсе?...

MasterShaytan

здравствуйте, подскажите я правильно понял. В 1ом случае не смотря на security-leve, access-list приоритетнее. А во  втором случае, не смотря на запрет access-list  инспектирование трафика проходит в обход  access-list ?

gduwvpz