Не работают ACL'ы на Cisco ASA 5512-X, что делать?

Question

[slavkin]

Всем привет!

Сам не цисковод, но тут по работе срочно потребовалось настроить ASA с достаточно простыми правилами фильтрации. Суть вот в чем... Имею Cisco ASA 5512-X, захожу к ней на консоль, создаю ACL вида deny ip any any, вешаю этот ACL на входящий трафик на интерфейс. Подключаю к этому интерфейсу ноутбук, пингую, и циска пингуется, что вызывает у меня ряд вопросов. Пробовал играться разными правилами - не помогает - ни один deny не срабатывает. Попробовал настроить ASDM, создал правила там, та же ситуация - не работает:


Подскажите, что я делаю не так. :)

Ниже привожу куски конфигурации.

Интерфейс:

ciscoasa# sh int gigabitEthernet 0/0
Interface GigabitEthernet0/0 "Test", is up, line protocol is up
  Hardware is i82574L rev00, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is off
        Description: Test interface
        MAC address 1005.ca9d.fff1, MTU 1500
        IP address 192.168.0.1, subnet mask 255.255.255.0
        185 packets input, 18146 bytes, 0 no buffer
        Received 100 broadcasts, 0 runts, 0 giants
        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
        0 pause input, 0 resume input
        0 L2 decode drops
        88 packets output, 6808 bytes, 0 underruns
        0 pause output, 0 resume output
        0 output errors, 0 collisions, 2 interface resets
        0 late collisions, 0 deferred
        7 input reset drops, 0 output reset drops
        input queue (blocks free curr/low): hardware (483/461)
        output queue (blocks free curr/low): hardware (487/447)
  Traffic Statistics for "Test":
        178 packets input, 14494 bytes
        88 packets output, 5152 bytes
        86 packets dropped
      1 minute input rate 2 pkts/sec,  196 bytes/sec
      1 minute output rate 0 pkts/sec,  52 bytes/sec
      1 minute drop rate, 1 pkts/sec
      5 minute input rate 0 pkts/sec,  0 bytes/sec
      5 minute output rate 0 pkts/sec,  0 bytes/sec
      5 minute drop rate, 0 pkts/sec

ACL:

ciscoasa# sh access-list
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096)
            alert-interval 300
access-list Test_access_in; 2 elements; name hash: 0xb594a33e
access-list Test_access_in line 1 extended deny ip any any (hitcnt=0) 0xa44b6cb5
access-list Test_access_in line 2 extended deny icmp any any (hitcnt=0) 0xb20c1b11

Access group:

ciscoasa# sh running-config access-group
access-group Test_access_in in interface Test

UPD: если нужна какая-то дополнительная информация, дайте знать. Заранее благодарен!

Answer 1

[mikes]

Properties -> Device administration -> icmp rules что указано?
что если указать правило вида any -> device IP ?
указан ли этот интерфейс в качестве management access interface?

Comments

[slavkin]

1. Все пусто.
2. Сделал, не помогло. Сделал сначала как вы сказали, потом указал конкретно откуда и куда: access-list Test_access_in line 2 extended deny icmp host 192.168.0.2 host 192.168.0.1 (hitcnt=0) 0x02370b54, опять же безрезультатно.
3. Нет.

[mikes]

slavkin: добавь в icmp rules правило которое дропает трафик, а на нужных интерфейсах разреши по надобности.

[mikes]

там еще неплохой Packet tracer есть, который вполне может показать чего к чему с правилами

[slavkin]

mikes: пробовал я packet tracer, че-то его показания постоянно расходятся с действительностью. В ASDM Launcher'е говорит, что пакет будет pass, нажимаю на правило, которое должно разрешить мне это и попадаю на deny ip any any.

Сейчас подключил циску к рабочей сети на второй интерфейс, с ноутбука захожу на порт SSH'а, который в другой сети, и спокойно захожу на порт SSH маршрутизатора, а packet tracer говорит:

ciscoasa(config)# packet-tracer input Test tcp 192.168.0.2 ssh 10.0.14.1 ssh

Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 10.0.14.0 255.255.255.0 Test2

Phase: 2
Type: ACCESS-LIST
Subtype: log
Result: DROP
Config:
access-group Test_access_in in interface Test
access-list Test_access_in extended deny ip any any
Additional Information:

Result:
input-interface: Test
input-status: up
input-line-status: up
output-interface: Test2
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule