Configuration des services FTP/TFTP : ASA 9.X
Table des matières
Introduction
Ce document décrit différents scénarios d'inspection FTP et TFTP sur l'ASA, la configuration d'inspection FTP/TFTP ASA et le dépannage de base.
Conditions préalables
Exigences
Cisco recommande de connaître les sujets suivants :
-
Communication de base entre les interfaces requises
-
Configuration du serveur FTP situé sur le réseau DMZ
Composants utilisés
Ce document décrit différents scénarios d'inspection FTP et TFTP sur l'appliance de sécurité adaptative (ASA) et couvre également la configuration d'inspection FTP/TFTP ASA et le dépannage de base.
Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :
-
ASA 5500 ou ASA 5500-X qui exécute l'image logicielle 9.1(5)
- Tout serveur FTP
-
Tout client FTP
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
Le dispositif de sécurité prend en charge l'inspection d'application via la fonction d'algorithme de sécurité adaptatif.
Par l'inspection d'application avec état utilisée par l'algorithme de sécurité adaptatif, le dispositif de sécurité suit chaque connexion qui traverse le pare-feu et s'assure qu'elle est valide.
Le pare-feu, par l'inspection avec état, surveille également l'état de la connexion pour compiler des informations à placer dans une table des états.
Avec l'utilisation de la table des états en plus des règles définies par l'administrateur, les décisions de filtrage sont basées sur le contexte qui est établi par les paquets qui sont précédemment passés à travers le pare-feu.
La mise en œuvre des inspections d'application consiste en ces actions :
-
Identifier le trafic
-
Appliquer des inspections au trafic
-
Activer des inspections sur une interface
Il existe deux formes de FTP, comme illustré dans l’image.
-
Mode actif
-
Mode passif
FTP actif
En mode actif FTP, le client se connecte d'un port non privilégié aléatoire (N>1023) au port de commande (21) du serveur FTP. Ensuite, le client commence à écouter le port N>1023 et envoie la commande FTP port N>1023 au serveur FTP. Le serveur se connecte alors à nouveau aux ports spécifiés de données du client à partir de son port local de données, qui est le port 20.
FTP passif
En mode de FTP passif, le client lance les deux connexions au serveur, ce qui résout le problème d'un Pare-feu qui filtre la connexion du port de données entrantes au client à partir du serveur. Lorsqu'une connexion FTP est ouverte, le client ouvre deux ports aléatoires non privilégiés localement. Le premier port contacte le serveur sur le port 21. Mais au lieu d'exécuter une commande port et de permettre au serveur de se reconnecter à son port de données, le client émet la commande PASV. Ceci fait que le serveur ouvre alors un port non privilégié aléatoire (P>1023) et renvoie la commande du port P au client. Le client initie alors la connexion du port N>1023 au port P sur le serveur pour transférer des données. Sans la configuration de la commande d'inspection sur l'Appliance de sécurité, le FTP à partir des utilisateurs internes dirigés vers l'extérieur fonctionne seulement en mode passif. En outre, l'accès est refusé aux utilisateurs dirigés en entrée vers votre serveur FTP.
TFTP
Le TFTP, comme décrit dans RFC 1350, est un protocole de routage simple pour lire et écrire des fichiers entre un serveur TFTP et un client. Le TFTP utilise le port UDP 69.
Prendre en charge le Protocole avancé
Pourquoi avez-vous besoin d'une inspection FTP ?
Certaines applications requièrent une prise en charge spéciale par la fonction d'inspections de l'Appliance de sécurité Cisco. Ces types d'applications incluent habituellement les informations d'adressage IP dans le paquet de données utilisateur ou les canaux auxiliaires ouverts sur les ports dynamiquement attribués. La fonction d'inspection d'application fonctionne avec la traduction d'adresses de réseau (NAT) afin d'aider à identifier l'emplacement des informations d'adressage intégrées.
En plus de l'identification des informations d'adressage intégrées, la fonction d'inspection d'application surveille les sessions afin de déterminer les numéros de port pour les canaux secondaires. Plusieurs protocoles de routage ouvrent les ports auxiliaires TCP ou UDP pour améliorer des performances. La session initiale sur un port connu est utilisée pour négocier les numéros de port dynamiquement attribués.
La fonction d'inspection d'application contrôle ces sessions, identifie les affectations des ports dynamiques et permet des échanges de données sur ces ports pour la durée des sessions spécifiques. Les applications Multimédia et les applications FTP montrent ce genre de comportement.
Si l'inspection FTP n'a pas été activée sur l'appliance de sécurité, cette demande est rejetée et les sessions FTP ne transmettent aucune donnée demandée.
Si l'inspection FTP est activée sur l'ASA, l'ASA surveille le canal de contrôle et tente de reconnaître une demande d'ouverture du canal de données. Le protocole FTP inclut les caractéristiques de port du canal de données dans le trafic du canal de contrôle, en demandant à l'Appliance de sécurité d'inspecter le canal de contrôle pour des modifications du port de données
Une fois que l'ASA reconnaît une requête, il crée temporairement une ouverture pour le trafic du canal de données qui dure toute la durée de la session. De cette façon, la fonction d'inspection de FTP contrôle le canal de contrôle, identifie une affectation du port de données et permet aux données d'être échangées sur le port de données pour la durée de la session.
ASA inspecte les connexions du port 21 pour le trafic FTP par défaut via la carte-classe d'inspection globale. L'Appliance de sécurité identifie également la différence entre une session FTP active et une session FTP passive.
Si les sessions FTP prennent en charge le transfert de données FTP passif, l'ASA via la commande inspect ftp, reconnaît la demande de port de données de l'utilisateur et ouvre un nouveau port de données supérieur à 1023.
La commande inspect ftp inspection inspecte les sessions FTP et effectue quatre tâches :
- Prépare une connexion de données secondaire dynamique
- Suit la séquence des commandes-réponses de FTP
- Génère une vérification rétrospective
- Traduit l'adresse IP incluse en utilisant NAT
L'inspection d'application FTP prépare des canaux auxiliaires pour le transfert des données de FTP. Les canaux sont alloués en réponse au téléchargement d'un fichier, ou à un événement d'énumération du répertoire et ils doivent être les pré-négociés. Le port est négocié par les commandes (227) PORT ou PASV (.
Configuration
Scénario 1. Client FTP configuré pour le mode actif
Client connecté au réseau interne de l'ASA et au serveur dans le réseau externe.
Diagramme du réseau
Comme l'illustre cette image, la configuration réseau utilisée comporte l'ASA avec client dans le réseau interne avec IP 172.16.1.5. Le serveur se trouve dans le réseau externe avec l'adresse IP 192.168.1.15. Le client a une adresse IP mappée 192.168.1.5 dans le réseau externe .
Il n'est pas nécessaire d'autoriser une liste d'accès sur l'interface externe car l'inspection FTP ouvre le canal de port dynamique.
Exemple de configuration :
ASA Version 9.1(5) ! hostname ASA domain-name corp. com enable password WwXYvtKrnjXqGbu1 encrypted names ! interface GigabitEthernet0/0
nameif Outside
security-level 0
ip address 192.168.1.2 255.255.255.0
!
interface GigabitEthernet0/1
nameif Inside
security-level 50
ip address 172.16.1.12 255.255.255.0
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
management-only
shutdown
no nameif
no security-level
no ip address
!--- Output is suppressed. !--- Object groups is created to define the host.
object network obj-172.16.1.5
subnet 172.16.1.0 255.255.255.0
!--- Object NAT is created to map Inside Client to Outside subnet IP.
object network obj-172.16.1.5
nat (Inside,Outside) dynamic 192.168.1.5
class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! !--- This command tells the device to !--- use the "global_policy" policy-map on all interfaces. service-policy global_policy global prompt hostname context Cryptochecksum:4b2f54134e685d11b274ee159e5ed009 : end ASA(config)#
Vérifier
Connexion
Client in Inside Network running ACTIVE FTP:
Ciscoasa(config)# sh conn
3 in use, 3 most used
TCP Outside 192.168.1.15:20 inside 172.16.1.5:61855, idle 0:00:00, bytes 145096704, flags UIB <--- Dynamic Connection Opened
TCP Outside 192.168.1.15:21 inside 172.16.1.5:61854, idle 0:00:00, bytes 434, flags UIO
Ici, le client dans Inside initie la connexion avec le port source 61854 au port de destination 21. Le client envoie ensuite la commande Port avec 6 valeurs de tuple. Le serveur à son tour initie la connexion secondaire/données avec le port source 20 et le port de destination est calculé à partir des étapes mentionnées après ces captures.
Capturez l'interface interne comme illustré dans cette image.
Capturez l'interface externe comme illustré dans cette image.
La valeur de port est calculée à l'aide des deux derniers nombres sur six. Les 4 tuples gauches correspondent à l'adresse IP et les 2 tuples correspondent au port. Comme l'illustre cette image, l'adresse IP est 192.168.1.5 et 241*256 + 159 = 61855.
Capture indique également que les valeurs des commandes de port sont modifiées lorsque l'inspection FTP est activée. La capture d'interface interne montre la valeur réelle de l'IP et le port envoyé par le client pour le serveur pour se connecter au client pour le canal de données et la capture d'interface externe montre l'adresse mappée.
Scénario 2. Client FTP configuré pour le mode passif
Client dans le réseau interne de l'ASA et serveur dans le réseau externe.
Diagramme du réseau
Connexion
Client in Inside Network running Passive Mode FTP:
ciscoasa(config)# sh conn
3 in use, 3 most used
TCP Outside 192.168.1.15:60142 inside 172.16.1.5:61839, idle 0:00:00, bytes 184844288, flags UI <--- Dynamic Connection Opened.
TCP Outside 192.168.1.15:21 inside 172.16.1.5:61838, idle 0:00:00, bytes 451, flags UIO
Ici, le client à l'intérieur initie une connexion avec le port source 61838 et le port de destination 21. Comme il s’agit d’un FTP passif, le client initie les deux connexions. Par conséquent, après la commande Client Sends PASV, le serveur répond avec sa valeur de tuple 6 et le client se connecte à ce Socket pour la connexion de données.
Capturez l'interface interne comme illustré dans cette image.
Capturez l'interface externe comme illustré dans cette image.
Le calcul pour les ports reste le même.
Comme mentionné précédemment, l'ASA réécrit les valeurs IP intégrées si l'inspection FTP est activée. En outre, il ouvre un canal de port dynamique pour la connexion de données.
Voici les détails de la connexion si Inspection FTP désactivée
Connexion:
ciscoasa(config)# sh conn
2 in use, 3 most used
TCP Outside 192.168.1.15:21 inside 172.16.1.5:61878, idle 0:00:09, bytes 433, flags UIO
TCP Outside 192.168.1.15:21 inside 172.16.1.5:61875, idle 0:00:29, bytes 259, flags UIO
Sans inspection FTP, Il essaie seulement d'envoyer la commande port encore et encore mais il n'y a pas de réponse car l'extérieur reçoit le PORT avec l'IP d'origine non NATTed un. La même chose a été montrée dans le vidage.
L'inspection FTP peut être désactivée avec la commande no fixup protocol ftp 21 en mode terminal de configuration.
Sans l'inspection FTP, seule la commande PASV fonctionne quand le client est à l'intérieur car il n'y a aucune commande de port provenant de l'intérieur qui doit être incorporée et les deux connexions sont initiées de l'intérieur.
Scénario 3. Client FTP configuré pour le mode actif
Client du réseau externe de l'ASA et serveur du réseau DMZ.
Diagramme du réseau
Configuration:
ASA(config)#show running-config ASA Version 9.1(5) ! hostname ASA domain-name corp .com enable password WwXYvtKrnjXqGbu1 encrypted names ! interface GigabitEthernet0/0
nameif Outside
security-level 0
ip address 192.168.1.2 255.255.255.0
!
interface GigabitEthernet0/1
nameif DMZ
security-level 50
ip address 172.16.1.12 255.255.255.0
!
interface GigabitEthernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
management-only
shutdown
no nameif
no security-level
no ip address
!--- Output is suppressed.
!--- Permit inbound FTP control traffic.
access-list 100 extended permit tcp any host 192.168.1.5 eq ftp
!--- Object groups are created to define the hosts.
object network obj-172.16.1.5
host 172.16.1.5
!--- Object NAT is created to map FTP server with IP of Outside Subnet.
object network obj-172.16.1.5
nat (DMZ,Outside) static 192.168.1.5
access-group 100 in interface outside
class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! !--- This command tells the device to !--- use the "global_policy" policy-map on all interfaces. service-policy global_policy global prompt hostname context Cryptochecksum:4b2f54134e685d11b274ee159e5ed009 : end ASA(config)#
Vérifier
Connexion:
Client in Outside Network running in Active Mode FTP:
ciscoasa(config)# sh conn
3 in use, 3 most used
TCP outside 192.168.1.15:55836 DMZ 172.16.1.5:21, idle 0:00:00, bytes 470, flags UIOB
TCP outside 192.168.1.15:55837 DMZ 172.16.1.5:20, idle 0:00:00, bytes 225595694, flags UI <--- Dynamic Port channel
Capturez l'interface DMZ comme illustré dans cette image.
Capturez l'interface externe comme illustré dans cette image.
Ici, le client exécute le client en mode actif 192.168.1.15 et initie la connexion au serveur dans la zone DMZ sur le port 21. Le client envoie ensuite la commande port avec six valeurs de tuple au serveur pour se connecter à ce port dynamique spécifique. Le serveur lance alors la connexion de données avec le port source 20.
Scénario 4 . Client FTP en mode passif
Client du réseau externe de l'ASA et serveur du réseau DMZ.
Diagramme du réseau
Connexion
Client in Outside Network running in Passive Mode FTP:
ciscoasa(config)# sh conn
3 in use, 3 most used
TCP Outside 192.168.1.15:60071 DMZ 172.16.1.5:61781, idle 0:00:00, bytes 184718032, flags UOB <--- Dynamic channel Open
TCP Outside 192.168.1.15:60070 DMZ 172.16.1.5:21, idle 0:00:00, bytes 413,
flags UIOB
Capturez l'interface DMZ comme illustré dans cette image.
Capturez l'interface externe comme illustré dans cette image.
Configurez l'inspection de base de l'application FTP
Par défaut, la configuration inclut une stratégie qui correspond à tout le trafic de l'inspection d'application par défaut et applique une inspection au trafic sur toutes les interfaces (une stratégie globale). Le trafic de l'inspection d'application par défaut inclut le trafic vers les ports par défaut pour chaque protocole.
Vous pouvez seulement appliquer une stratégie globale, ainsi si vous voulez modifier la stratégie globale, par exemple, pour appliquer l'inspection aux ports non standard, ou pour ajouter des inspections qui ne sont pas activées par défaut, vous devez soit modifier la stratégie par défaut soit la désactiver et en appliquer une nouvelle. Pour une liste de tous les ports par défaut, référez-vous à la Stratégie d'inspection par défaut.
-
Exécutez la commande policy-map global_policy.
ASA(config)#policy-map global_policy
-
Exécutez la commande class inspection_default.
ASA(config-pmap)#class inspection_default
-
Exécutez la commande inspect FTP.
ASA(config-pmap-c)#inspect FTP
- Il y a une option d'utilisation de la commande inspect FTP strict. Cette commande augmente la sécurité des réseaux protégés en empêchant un navigateur Web d'envoyer des commandes incluses dans les requêtes FTP.
Après que vous activez l'option strict sur une interface, l'inspection de FTP impose ce comportement:
-
Une commande FTP doit être reconnue avant que l'Appliance de sécurité autorise une nouvelle commande
-
L'Appliance de sécurité dépose une connexion qui envoie des commandes incluses
-
Les commandes 227 et PORT sont vérifiées pour s'assurer qu'elles n'apparaissent pas dans une chaîne d'erreur
-
Configuration de l'inspection du protocole FTP sur le port TCP non standard
Vous pouvez configurer l'inspection du protocole FTP pour les ports TCP non standard avec ces lignes de configuration (remplacez XXXX par le nouveau numéro de port) :
access-list ftp-list extended permit tcp any any eq XXXX ! class-map ftp-class match access-list ftp-list ! policy-map global_policy class ftp-class inspect ftp
Vérifier
Afin de s'assurer que la configuration a bien été prise, exécutez la commande show service-policy. En outre, limitez le résultat à l'inspection FTP en exécutant la commande show service-policy inspect ftp.
ASA#show service-policy inspect ftp
Global Policy:
Service-policy: global_policy
Class-map: inspection_default
Inspect: ftp, packet 0, drop 0, reste-drop 0
ASA#
TFTP
L'inspection TFTP est activée par défaut.
L'Appliance de sécurité inspecte le trafic TFTP et crée dynamiquement des connexions et des routages de traduction s'il y a lieu, pour permettre le transfert de fichiers entre un client TFTP et le serveur. En particulier, le moteur d'inspection inspecte les requêtes lues TFTP (RRQ), écrit des requêtes de routage (WRQ) et les notifications d'erreur (ERREUR).
Un canal auxiliaire dynamique et une traduction PAT s'il y a lieu, sont alloués sur une réception d'un RRQ ou d'un WRQ valide. Ce canal auxiliaire est ultérieurement utilisé par TFTP pour le transfert de fichiers ou la notification d'erreur.
Seul le serveur TFTP peut lancer le trafic de routage au-dessus du canal auxiliaire, et tout au plus un canal auxiliaire inachevé peut exister entre le client TFTP et le serveur. Une notification d'erreur du serveur ferme le canal auxiliaire.
L'inspection TFTP doit être activée si la fonction Fstatic PAT est utilisée pour rediriger le trafic TFTP.
Configurez l'inspection de base de l'application TFTP
Par défaut, la configuration inclut une stratégie qui correspond à tout le trafic de l'inspection d'application par défaut et applique une inspection au trafic sur toutes les interfaces (une stratégie globale). Le trafic de l'inspection d'application par défaut inclut le trafic vers les ports par défaut pour chaque protocole.
Vous ne pouvez appliquer qu'une seule stratégie globale. Par conséquent, si vous voulez modifier la stratégie globale, par exemple, pour appliquer l'inspection à des ports non standard, ou pour ajouter des inspections qui ne sont pas activées par défaut, vous devez soit modifier la stratégie par défaut, soit la désactiver et en appliquer une nouvelle. Pour une liste de tous les ports par défaut, référez-vous à la Stratégie d'inspection par défaut.
-
Exécutez la commande policy-map global_policy.
ASA(config)#policy-map global_policy
-
Exécutez la commande class inspection_default.
ASA(config-pmap)#class inspection_default
-
Exécutez la commande inspect TFTP.
ASA(config-pmap-c)#inspect TFTP
Diagramme du réseau
Ici, le client est configuré dans Réseau externe. Le serveur TFTP est placé dans le réseau DMZ. Le serveur est mappé à l'adresse IP 192.168.1.5 qui se trouve dans le sous-réseau externe.
Exemple de configuration :
ASA(config)#show running-config ASA Version 9.1(5) ! hostname ASA domain-name corp. com enable password WwXYvtKrnjXqGbu1 encrypted names ! interface GigabitEthernet0/0
nameif Outside
security-level 0
ip address 192.168.1.2 255.255.255.0
!
interface GigabitEthernet0/1
nameif DMZ
security-level 50
ip address 172.16.1.12 255.255.255.0
!
interface GigabitEthernet0/2
shutdown
no nameif
security-level 100
ip address 10.1.1.1 255.255.255.0
!
interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
management-only
shutdown
no nameif
no security-level
no ip address
!--- Output is suppressed. !--- Permit inbound TFTP traffic. access-list 100 extended permit udp any host 192.168.1.5 eq tftp ! !--- Object groups are created to define the hosts. object network obj-172.16.1.5
host 172.16.1.5
!--- Object NAT to map TFTP server to IP in Outside Subnet.
object network obj-172.16.1.5
nat (DMZ,Outside) static 192.168.1.5
access-group 100 in interface outside
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
!--- This command tells the device to
!--- use the "global_policy" policy-map on all interfaces.
service-policy global_policy global
prompt hostname context
Cryptochecksum:4b2f54134e685d11b274ee159e5ed009
: end
ASA(config)#
Vérifier
Afin de s'assurer que la configuration a bien été prise, exécutez la commande show service-policy. En outre, limitez le résultat à l'inspection TFTP uniquement en exécutant la commande show service-policy inspect tftp.
ASA#show service-policy inspect tftp
Global Policy:
Service-policy: global_policy
Class-map: inspection_default
Inspect: tftp, packet 0, drop 0, reste-drop 0
ASA#
Dépannage
Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.
Packet Tracer
Client dans le réseau interne
FTP client Inside - Packet Tracer for Control Connection : Same Flow for Active and Passive.
# packet-tracer input inside tcp 172.16.1.5 12345 192.168.1.15 21 det
-----Omitted------
Phase: 5
Type: INSPECT
Subtype: inspect-ftp
Result: ALLOW
Config:
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect ftp
service-policy global_policy global
Additional Information:
Forward Flow based lookup yields rule:
in id=0x76d9a120, priority=70, domain=inspect-ftp, deny=false
hits=2, user_data=0x76d99a30, cs_id=0x0, use_real_addr, flags=0x0, protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=21, dscp=0x0
input_ifc=inside, output_ifc=any
Phase: 6
Type: NAT
Subtype:
Result: ALLOW
Config:
object network obj-172.16.1.5
nat (inside,outside) static 192.168.1.5
Additional Information:
NAT divert to egress interface DMZ
translate 172.16.1.5/21 to 192.168.1.5/21
Phase: 7
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
object network obj-172.16.1.5
nat (inside,outside) static 192.168.1.5
Additional Information:
Forward Flow based lookup yields rule:
out id=0x76d6e308, priority=6, domain=nat-reverse, deny=false
hits=15, user_data=0x76d9ef70, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=172.16.1.5, mask=255.255.255.255, port=0, dscp=0x0
input_ifc=inside, output_ifc=outside
----Omitted----
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: Outside
output-status: up
output-line-status: up
Action: allow
Client dans le réseau externe
FTP client Outside - Packet Tracer for Control Connection : Same Flow for Active and Passive
# packet-tracer input outside tcp 192.168.1.15 12345 192.168.1.5 21 det
Phase: 1
Type: UN-NAT
Subtype: static
Result: ALLOW
Config:
object network obj-172.16.1.5
nat (DMZ,outside) static 192.168.1.5
Additional Information:
NAT divert to egress interface DMZ
Untranslate 192.168.1.5/21 to 172.16.1.5/21
-----Omitted-----
Phase: 4
Type: INSPECT
Subtype: inspect-ftp
Result: ALLOW
Config:
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
inspect ftp
service-policy global_policy global
Additional Information:
Forward Flow based lookup yields rule:
in id=0x76d84700, priority=70, domain=inspect-ftp, deny=false
hits=17, user_data=0x76d84550, cs_id=0x0, use_real_addr, flags=0x0, protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=21, dscp=0x0
input_ifc=outside, output_ifc=any
Phase: 5
Type: NAT
Subtype: rpf-check
Result: ALLOW
Config:
object network obj-172.16.1.5
nat (DMZ,outside) static 192.168.1.5
Additional Information:
Forward Flow based lookup yields rule:
out id=0x76d6e308, priority=6, domain=nat-reverse, deny=false
hits=17, user_data=0x76d9ef70, cs_id=0x0, use_real_addr, flags=0x0, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0
dst ip/id=172.16.1.5, mask=255.255.255.255, port=0, dscp=0x0
input_ifc=outside, output_ifc=DMZ
----Omitted-----
Result:
input-interface: Outside
input-status: up
input-line-status: up
output-interface: DMZ
output-status: up
output-line-status: up
Action: allow
Comme on le voit dans les deux traceurs de paquets, le trafic atteint leurs instructions NAT respectives et la politique d'inspection FTP. Ils laissent également leurs interfaces requises.
Pendant le dépannage, vous pouvez essayer de capturer les interfaces d'entrée et de sortie ASA et voir si la réécriture de l'adresse IP intégrée ASA fonctionne correctement et vérifier la connexion si le port dynamique est autorisé sur ASA.
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
2.0 |
08-Jun-2023 |
nouvelle homologation |
1.0 |
19-Oct-2015 |
Première publication |
Commentaires