В общем суть такова:
Имеем Cisco ASA как межсетевой экран, стоящий на границе между внутренней(локальной) сетью и внешней(интернетом), на циске настроен NAT и адрес 192.168.1.1 транслируется в некий внешний ip 10.0.0.1
Этот вешний ip соответственно пингуется, а при желании и сканируется на наличие открытых портов..
Вопрос - каким образом используя асу(cisco asa) я могу скрыть этот айпишник или хотя бы сделать так чтобы не было возможности просканировать хост на наличие открытых портов?
На ASA необходимо создать 2 зоны (напримерб trust и untrust) и разнести по ним интерфейс-в-сторону-провайдера (в untrust) и интерфейс-в-сторону-сервера (в trust).
На интерфейсах задать security-level:
!
interface gig0/0
description --to_ISP--
security-level 0
nameif untrust
!
int gig0/1
des --to_server--
security-level 100
nameif trust
!
конфиг NAT:
object network server_local
host 192.168.1.2
object network ISP_peering
host 111.111.111.111
!
object network out_nat
nat (trust,untrust) dynamic ISP_peering #либо через static режим
!
Так вы включите stateful обработку трафика и сервер снаружи будет недоступен (поток трафика должен будет инициировать сервер). Если есть необходимость получить доступность портов (например http) сервера снаружи, то просто добавьте ACL:
access-list outside_access extended permit tcp any object server_local eq www
access-group outside_access in interface untrust
Естественно, это минимальный конфиг и для полного счастья его не хватит
Работает для TCP: в iptables для нежелательных соединений вместо прописать -j REJECT --reject-with tcp-reset. Таким образом будет отличить закрытый и отфильтрованный порты почти невозможно (только по разнице в микросекундах, что с джиттером интернет-соединений не получится).
Также неплохо поможет: выключить все сервисы, оставить только ядро.
Если на адресе нет открытых портов - значит на нем нет никаких сервисов. Вы именно этого хотите?
Средний
Простой
Простой
