问题标签 [asa]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
cisco - CISCO ASA 配置“access-list”协议名称“ip”是否包括“tcp”和“udp”?
我有几行,我想知道是否有一些因此而被遮蔽?
perl - 需要一个脚本来将 PIX/ASA 日志格式化为 CSV
我正在做一个项目来将服务器上的各种解析为csv。有没有人有一个好的 perl 脚本或 gawk 语句可以将标准 PIX/ASA 日志解析为 CSV...
谢谢。
python - Pexpect if else 语句
我正在尝试创建一个清除 ciscoasa bad xlate 的脚本。
要检查坏 xlate,我运行 sh xlate | 在 500 中,如果它得到回复,那么它应该发送一个明确的命令。如果我不这样做,ciscoasa 将不允许新的 vpn 隧道。
我需要有关 if else 语句的帮助。否则,脚本工作正常。这是我的代码:
logging - 在防火墙中记录访问控制条目
我们有一个 Cisco ASA5520 防火墙,为每个接口定义了访问规则。
接口上未指定显式拒绝所有命令。
在防火墙上启用了日志记录。
我的问题是,
当允许的 IP 地址以外的 IP 地址尝试访问时,会被记录吗?
例如:
A到B允许日志=否
但
没有提到任何拒绝日志=是的
因此,如果 ip A 尝试访问 C ,它会被记录吗?
如果是,那么启用的防火墙日志与访问控制条目中的日志记录功能有什么区别?
vpn - 如何使 Sun NFS 在 Cisco ASA VPN 连接上工作并打开最少的端口?
我通过 Cisco ASA 5505 防火墙测试了 NFS 服务。
使用普通接口默认 ACL,在内部接口(级别 100)上是“允许 ip any any”,在外部接口(级别 0)上是“拒绝 ip any any”。NFS 服务器连接到外部接口。一切都很好。通过查看经过的数据包,我可以看到 PC 内部调用 NFS 服务器的 111 端口,使用 portmap 协商一个端口。完成了这个 TCP 连接。然后 NFS 服务器(PC 外部)使用协商的端口连接到内部 PC 并传输数据。Cisco ASA 防火墙很好地保持 TCP 状态并“记住”协商的端口,因此即使外部 ACL 是“拒绝任何 IP”,也可以让外部 PC 使用该端口与内部 PC 通信。防火墙是完全有状态的,到目前为止一切都很好。
但是,只要我使用 VPN 将 NFS 服务器(PC 外部)连接到 Cisco ASA 防火墙。一切都变了。通过查看数据包,NFS 仍然可以通过防火墙并通过端口映射协商端口。在此 TCP 会话结束之后。防火墙忘记协商端口并阻止外部 PC 使用协商端口与内部 PC 对话。
有或没有 VPN 是唯一的变化。只有一个 ACL,在内部接口上,允许 ip any any。NFS 服务器设置为可以从任何子网访问。此防火墙上没有 NAT 和服务策略设置。
谁能解释为什么 Cisco 防火墙规则不再通过 VPN “有状态”?是这样设计的吗?让 NFS 在 VPN 上工作而不在外部接口上打开一系列动态端口的最佳方法是什么?
osx-lion - MAC OS X VPN 客户端 / 证书 / Cisco ASA 系列
我花了很多时间在网上寻找解决方案,但是,唉,所以我最终得出结论,这可能是一个有趣的话题。
这是任务:
1. 我需要建立从 MAC OS X(最好是内置 IPSec 客户端)到远程 Cisco ASA 5500 的 VPN 连接。
2. 我有什么:两张证书,一张用于VPN连接密码,一张用于远程桌面登录。它们都存储在 eToken 上。
问题在于建立连接:在cisco官方网站上有关于支持的vpn客户端的评论,并且mac os x内置的IPSec客户端似乎是合适的。此外,对于 ASA 5500,它适用于“l2tp over ipsec”和“Cisco IPSec”模式。现在,让我们尝试建立“Cisco IPSec”(设置>网络>添加连接)。我有主机地址、账户名和密码,而且我确定它是正确的,因为我在 Win7 中检查过。
最有趣的是“身份验证设置”:在这里,我应该选择一个证书,但我的钥匙串报告说,我的钥匙串中没有合适的证书。
其原因可能在于证书的“类型”。我拥有的所有证书都被 OS X 识别为用户证书,因此它不能用于授权机器(顺便说一句,对吗?)。
好的,如果我们尝试通过 IPSec 的 l2tp 存在同样的问题:我什至可以从 eToken 中选择用户证书,但我仍然没有机器证书。
这是它通常在 Windows 中的样子:
运行 Cisco VPN 客户端
设置主机地址,而不仅仅是选择证书(允许以某种方式选择:))
点击连接,输入 eToken 的 pin 即可连接
那么在以下情况下如何建立连接:
1. 即使对于本地 IPsec 客户端,eToken 的证书也非常明显。
2. 另一端有一个cisco asa 5500。
或者我会很高兴获得提示或链接,我可以在其中找到有关 cisco vpn 功能的任何描述...
系统:OS X Lion 10.7.4,eToken SafeNet Authentication Client 8.0。
如果有人知道不同客户的决定 - 很高兴在这里看到它。
预先感谢!
cisco - ASA 故障转移和 L3 落后
这是我的设置 https://dl.dropboxusercontent.com/u/16923193/asa%20failover.JPG 如您所见,我们有用于 Internet 访问、VPN 等的双 ASA 5512-X,以及 L3 3560-X在它们后面,连接到 L2 接入交换机。
到目前为止,ASA 配置还可以。故障转移在 ASA 之间工作(当主服务器发生故障时,辅助服务器采用主服务器的配置,以及内部/外部地址的 IP),但我不知道如何在 3560-X 上配置 GE 0/2作为一个?
我也想在没有 switchport 命令的情况下使用它,并且 IP 地址为 10.101.0.4 255.255.255.0 但与 GE 0/1 重叠,L3 不会让我做什么。是否有解决方法,因此如果主 ASA 发生故障(换句话说,如果与 P-ASA 到 GE 0/1 L3 的连接失败),我可以将 L3 自动切换到 GE 0/2
提前致谢!
python - 使用 Cisco ASA 的 paramiko
有人尝试使用 Paramiko 连接到 Cisco ASA 吗?
我使用以下脚本:
它适用于 Cisco IOS(路由器),但在我尝试连接到 ASA 设备时在“发送命令”后挂起。
Paramiko 日志包含以下消息:
我在设备上看到活动的 SSH 会话,但我的脚本在输出“发送命令”后挂起
logstash - 我如何提取IP源;ip目的地;使用logstash过滤器的端口源?
我正在使用 logstash 从我的 ASA 5505 收集日志,我想提取 ip 源;ip目的地;端口源;在 kibana 中使用它们的端口目的地。我应该在过滤器中写什么。
这是一个示例日志消息:
这是正在使用的过滤器:
谢谢
bash - 在 awk 和 sed 中的模式之间的匹配中不包括最后一行,但包括第一行
抱歉-我现在编辑了标题-标题最初与我想要的相反。
我想包括模式的第一行,以及直到出现结束模式的每一行。结束模式是开始模式的子集,因此 sed 的行为与 AWK 不同。
这样做的目的是构建一个枚举 Cisco ASA 网络类型对象组的 bash 函数。
此外,如果输出行中的任何行包含“group-object”,则还需要枚举该组对象。我确信通过一些循环,if's 和 awk's 和或 sed's 这可以做到。
例如
将返回:
目前 - 我什至无法让第一部分工作(没有枚举嵌套组)另外 - 嵌套组,可能有嵌套组!啊啊啊
给了我我需要的东西,但确实包括了 END 模式的第一行,它是我不关心的对象组的开始。
awk 版本似乎没有返回任何内容,我猜是因为结束模式是开始模式的子字符串:
有一个使用 next 和 flags 的指南,但我无法从一堆不同的站点中获得它的头部或尾部。
好的,这是添加的信息:
在回答你的问题时,我不知道awk语言,也不知道sed。我是一名网络工程师——我想对于那些不涉足该学科的人来说,我为什么要实现这一点对你们来说是个谜。我的编程很糟糕,而且我的 linux 很弱。
cisco ASA 配置中的访问控制列表通常使用如下访问列表构建:
访问列表 ACCESS-LIST 扩展许可 ip 对象组 SOURCE-OBJECT-GROUP 对象组 DESTINATION-OBJECT-GROUP
大写的任何内容都已由人类在某个时间点输入,小写单词由 cisco 保留,用于解析等。“对象组”就像编程语言中的数组。这些访问列表也可能包含不止一行,或者明确定义了网络,而不是使用对象组。
我想为指定访问列表中的源对象组和目标对象组枚举所有对象组条目。这些对象组的格式如下
在上面的示例中,使用前面介绍的访问控制列表,我想要源对象组输出:
但是请注意,这个名为 SOURCE-OBJECT-GROUP 的对象组还包含一个组对象,这是一个保留字,意思是 - 这是一个嵌套对象组,需要从配置中的其他位置读取。
所以输出需要是:
我们不希望来自不属于访问列表一部分或未嵌套在顶级访问列表中的其他对象组的任何输出。此概念类似于 Active Directory 中的嵌套组。
我现在尝试给你一些伪代码:
AWK 使用 awk print $6 和 awk print $9 打印访问列表中的对象组名称/变量
访问列表 ACCESS-LIST 扩展许可 ip 对象组 SOURCE-OBJECT-GROUP 对象组 DESTINATION-OBJECT-GROUP
将这些中的每一个存储为一些变量,然后枚举。像 $source-object-group-name, $destination-object-group-name
函数 enumerate-object-group 输入 $source-object-group-name
因此,如果 $source-object-group-name = "SOURCE-OBJECT-GROUP" 进行某种不匹配“SOURCE-OBJECT-GROUP1”的显式模式匹配,(某种 grep -w 样式的东西)打印下面的每一行. 这是因为许多对象组的名称比其他对象组长。例如,像 run 是 running 的子字符串
(1) 打印“标题行”object-group network SOURCE-OBJECT-GROUP
(2)检查行是否以“group-object”开头(注意这是一个反转的保留名称,因此 cisco 可以区分)---> YES?将此“对象组”的值发送到另一个函数,就像这个函数一样。可以使用 awk print $2 获取此值
---> 没有?打印该行,因为它只是一个“正常”行,因为它不以“group-object”开头
---> 是吗?将此“对象组”的值发送到另一个函数,就像这个函数一样。这个值可以用 awk print $2 (goto 1?)
(3) 继续配置,直到我们遇到一些以“object-group network”开头的文本,但不包含原始组对象的显式名称,这意味着 - 它是一个我们不包含的新对象组关心,因为它不是我们从访问列表中提取的,也不是嵌套的,我们正在扩展。
将 $destination-object-group-name 泵入函数 repeat 访问列表中的所有行
我知道这很复杂,并且这里有两个级别(或更多)的嵌套组。如果您需要更多信息,请告诉我。
我无法正确显示评论,正在尝试使用双空格换行。
我试过你的建议,用 {$d;p} 替换 end sed p 但是,我得到相同的输出:
我们需要确保省略最后一行。我使用以下文本进行测试: