Hola Jorge, He llevado a la practica en un ASA5505 tu configuraccion y accedo desde la vlan inside al servidor HTTP y FTP que tengo en la vlan DMZ bien. lo que no consigo es que desde la vlan DMZ de pueda acceder a la vlan outside, quiero decir que desde inside accedo a outside y navego bien, desde inside accedo a dmz y veo el servidor HTTP y FTP bien, desde dmz no accedo a inside, pero tampoco a outside, que se me escapa para poder navegar desde dmz, o como consigo acceder a outside desde la red dmz? gracias de antemano.
Hola amigo ENRROJE, tu requerimiento lo puedes resolver de la siguiente manera, aplica el siguiente comando en el ASA, en configuración global (service-policy POLITICA-INSIDE-DMZ interface dmz) con esto se activa la clase ya creada en la practica, pero esta ves se le permite a la DMZ que pueda salir a la red WAN, el problema estaba en que los paquetes de respuesta eran denegados por default, pero con esto solucionas, espero te sea de utilidad, aquí estaré. Bendiciones
Hola Jorge, muchas gracias por tu rapida respuesta, soy nuevo en los ASA de Cisco y lleve al pie de la letra tu video, intento entender su funcionamiento pero creo que aun me queda mucho por aprender. Gracias de nuevo.
Estimado, He llevado el laboratorio a equipos reales y no me resulta. Por ejemplo: la IP EXTERNA del servidor es virtual No va asociada a un interfaz fisica? Tu llevaste este laboratorio a realidad y funciona? Favor tus comentarios, Gracias.
Estimado Deyvi Mena R. Primeramente, gracias por ver mis vídeos, ciertamente un dispositivo Cisco ASA 5505 en un Lab real, tiene que ser configurado con las direcciones IP directamente en las interfaces, no con VLAN. Ej: interface ethernet 0 -> nameif outside -> ip address x.x.x.x x.x.x.x -> security level 0 ETC.
Gracias por tu respuesta. El ASA dentro de una interfaz NO reconoce el comando nameif o security level de echo al ingresar ip address aparece el mensaje de ; ERROR: This command can only be configured on VLAN interfaces. Yo creo que debe ser con VLAN pero quizás se debe afinar la configuración en alguna parte.
He hecho la configuración tal como lo has indicado, pero me llama mucho la atención que no pueda conectarme a internet desde la red local. La NAT según tengo entendido la hemos hecho expresamente para podernos conectar a internet desde la red local usando IP privada de la NAT si no me equivoco. Qué ocurre?
excellent video Jorge!! but i have found problem after setting access-list I am not able to ping DMZ from inside did you check that ? please help me if you know that problem!
add this commands to your firewall ASA class-map INSIDE-DMZ match any ! policy-map POLITICA-INSIDE-DMZ class INSIDE-DMZ inspect icmp ! service-policy POLITICA-INSIDE-DMZ interface inside this lines allow all response trafic from the DMZ until LAN, including ICMP packets. Bless for you my friend, thanks for watch my videos
Si la red DMZ posee un nivel de seguridad intermedio y la internet un nivel 0, por que la internet puede crear una conexion a la DMZ si es inferior? help me!! tengo esa duda
buena pregunta, amigo Jasiel. Resulta que, la zona DMZ fue creada como la red de acceso publico, en ella instalaremos los servicios que están orientados a clientes externos a nuestra red LAN, ejemplo: Pagina Web, Correo Electronico, Servidores DNS o FTP, etc. Por tal motivo, se deben aplicar reglas de NAT para traducir direcciones de HOST desde la WAN hacia DMZ junto con sus reglas ACL, Se entiende que, la DMZ es un callejón sin salida para los visitantes y/o atacantes. Los demas servicios "críticos" deben de estar tras el cortafuegos FIREWALL en nuestra LAN, no se descarta tambien la aplicacion de NAT y ACL para poder acceder a la red LAN del mismo modo, entonces allí entra en juego los servicios IPS y/o IDS. Un abrazo amigo Jasiel. :)
Gracias, amigo por tu valioso conocimiento. Muy bien explicado. Saludos desde de Guatemala.
Amigo Byron Call, gracias a usted por su tiempo al ver el vídeo. Un abrazo :)
Excelente vídeo te felicito, muy agradecido por tu valiosa información, ahora en la actualidad sería como hacerlo via ASDM jejejej
Gracias por ver mis videos, saludos :)
Excelente video vien explicado.Grasia lo felicito por utilizar un buen metodo explicativo.
Muy buen video, súper detallado! gracias.
Super bien explicado, muchas gracias.
Gracias amigo Santiago. Para eso estamos, para aprender y enseñar. :)
Excelente video-tutorial Jorge
Gracias amigo José Silva. Bendiciones
¡Excelente vídeo! ¡Gracias!
Excelente video. No hablao muy bien espanol pero hay entendido tudo.
hola, gracias por ver mis videos, me alegra que sea de tu utilidad / Oi, obrigado por assistir meus vídeos, fico feliz que seja útil
Felicitaciones, buen video.
Hola amigo Sebastián. Espero que esos vídeos te sirvan de utilidad
Muchas Gracias!
Gracias por ver mis videos, saludos :)
Excelente, gracias
Que buen video y explicación en espanol
Gracias amigo Jonathan. Aquí estaré a tu orden
como puedo configurar una acl para que deniegue el servicio a la mitad de los host de una red pero resto pueda continuar con el acceso, gracias
Excelente video.
Gracias amigo Andres Eloy. pendiente al próximo vídeo donde explicare el protocolo HSRP, utilizare la misma topologia. Si te gusto el vídeo dale LIKE.
Hola Jorge,
He llevado a la practica en un ASA5505 tu configuraccion y accedo desde la vlan inside al servidor HTTP y FTP que tengo en la vlan DMZ bien. lo que no consigo es que desde la vlan DMZ de pueda acceder a la vlan outside, quiero decir que desde inside accedo a outside y navego bien, desde inside accedo a dmz y veo el servidor HTTP y FTP bien, desde dmz no accedo a inside, pero tampoco a outside, que se me escapa para poder navegar desde dmz, o como consigo acceder a outside desde la red dmz? gracias de antemano.
Hola amigo ENRROJE, tu requerimiento lo puedes resolver de la siguiente manera, aplica el siguiente comando en el ASA, en configuración global (service-policy POLITICA-INSIDE-DMZ interface dmz) con esto se activa la clase ya creada en la practica, pero esta ves se le permite a la DMZ que pueda salir a la red WAN, el problema estaba en que los paquetes de respuesta eran denegados por default, pero con esto solucionas, espero te sea de utilidad, aquí estaré. Bendiciones
Hola Jorge, muchas gracias por tu rapida respuesta, soy nuevo en los ASA de Cisco y lleve al pie de la letra tu video, intento entender su funcionamiento pero creo que aun me queda mucho por aprender. Gracias de nuevo.
Estimado, He llevado el laboratorio a equipos reales y no me resulta. Por ejemplo: la IP EXTERNA del servidor es virtual No va asociada a un interfaz fisica? Tu llevaste este laboratorio a realidad y funciona? Favor tus comentarios, Gracias.
Estimado Deyvi Mena R. Primeramente, gracias por ver mis vídeos, ciertamente un dispositivo Cisco ASA 5505 en un Lab real, tiene que ser configurado con las direcciones IP directamente en las interfaces, no con VLAN. Ej: interface ethernet 0 -> nameif outside -> ip address x.x.x.x x.x.x.x -> security level 0 ETC.
Gracias por tu respuesta. El ASA dentro de una interfaz NO reconoce el comando nameif o security level de echo al ingresar ip address aparece el mensaje de ; ERROR: This command can only be configured on VLAN interfaces. Yo creo que debe ser con VLAN pero quizás se debe afinar la configuración en alguna parte.
He hecho la configuración tal como lo has indicado, pero me llama mucho la atención que no pueda conectarme a internet desde la red local. La NAT según tengo entendido la hemos hecho expresamente para podernos conectar a internet desde la red local usando IP privada de la NAT si no me equivoco. Qué ocurre?
Eso no esta configurado en este vídeo, pero se puede hacer, tienes que crear los objetos y sus conjunto de red y dar la salida de la inside to outside
excellent video Jorge!! but i have found problem after setting access-list I am not able to ping DMZ from inside did you check that ? please help me if you know that problem!
add this commands to your firewall ASA
class-map INSIDE-DMZ
match any
!
policy-map POLITICA-INSIDE-DMZ
class INSIDE-DMZ
inspect icmp
!
service-policy POLITICA-INSIDE-DMZ interface inside
this lines allow all response trafic from the DMZ until LAN, including ICMP packets. Bless for you my friend, thanks for watch my videos
download this example for more information mega.nz/#!NxwUzLBC!B0IwdbE_swUVZ-6jqBBc4d0_Oj0sLNsJp__Kjn2-Bbs
Dear Jorge, Thank you so much for helping!
Si la red DMZ posee un nivel de seguridad intermedio y la internet un nivel 0, por que la internet puede crear una conexion a la DMZ si es inferior? help me!! tengo esa duda
buena pregunta, amigo Jasiel. Resulta que, la zona DMZ fue creada como la red de acceso publico, en ella instalaremos los servicios que están orientados a clientes externos a nuestra red LAN, ejemplo: Pagina Web, Correo Electronico, Servidores DNS o FTP, etc. Por tal motivo, se deben aplicar reglas de NAT para traducir direcciones de HOST desde la WAN hacia DMZ junto con sus reglas ACL, Se entiende que, la DMZ es un callejón sin salida para los visitantes y/o atacantes. Los demas servicios "críticos" deben de estar tras el cortafuegos FIREWALL en nuestra LAN, no se descarta tambien la aplicacion de NAT y ACL para poder acceder a la red LAN del mismo modo, entonces allí entra en juego los servicios IPS y/o IDS. Un abrazo amigo Jasiel. :)
@@JorgeGranda Muchas gracias!! :D, tus vídeos son buenos