ASA 9.x: Configurar serviços FTP/TFTP - cisco.com · Os canais são alocados em resposta a um...

ASA 9.x: Configurar serviços FTP/TFTP Índice

IntroduçãoPré-requisitosRequisitosComponentes UtilizadosInformações de ApoioGerenciamento Avançado de ProtocolosCenários de configuraçãoCenário 1: Cliente de FTP configurado para o modo ativoCenário 2: Cliente de FTP configurado para o modo passivo.Cenário 3: Cliente de FTP configurado para o modo ativoEncenação 4: Modo passivo running do cliente de FTPConfiguração da Inspeção Básica de Aplicativos de FTPConfigurar a inspeção do protocolo de FTP na porta TCP não padronizadaVerificarTFTPConfiguração da Inspeção Básica de Aplicativos de TFTPVerificar

Introdução

Este documento descreve encenações da inspeção diferente FTP e TFTP na ferramenta desegurança adaptável (ASA) e igualmente cobre a configuração e o Troubleshooting básico dainspeção ASA FTP/TFTP.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

Uma comunicação básica entre interfaces requerida●

Configuração do servidor FTP situado na rede do DMZ●

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

Ferramenta de segurança adaptável do 5500-X Series ASA 5500 ou ASA que executa 9.1(5)a imagem do software

●

Algum servidor FTP●

Algum cliente de FTP●

As informações neste documento foram criadas a partir de dispositivos em um ambiente delaboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com umaconfiguração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impactopotencial de qualquer comando.

Informações de Apoio

O Security Appliance oferece suporte à inspeção de aplicativos por meio da função AdaptiveSecurity Algorithm. Ao usar a inspeção stateful de aplicativos do Adaptive Security Algorithm, oSecurity Appliance controla todas as conexões que cruzam o firewall e garante que elas sejamválidas. O firewall, por meio da inspeção stateful, também monitora o estado da conexão paracompilar informações e colocá-las em uma tabela de estados. Com o uso da tabela de estadosalém das regras definidas pelo administrador, as decisões de filtragem baseiam-se no contextoque é estabelecido pelos pacotes transmitidos previamente pelo firewall.

A implementação de inspeções de aplicativos consiste nas seguintes ações:

Identificar o tráfego.●

Aplicar inspeções ao tráfego.●

Ativar as inspeções em uma interface.●

Há duas formas de FTP:

Modo ativo●

Modo passivo●

FTP ativo

No modo de FTP ativo, o cliente se conecta de uma porta sem privilégios aleatória (N > 1023) àporta de comandos (21) do servidor FTP. Então o cliente começa escutar para mover N>1023 eenvia a porta N>1023 do comando ftp ao servidor FTP. O servidor então se conecta de volta àsportas de dados especificadas do cliente com sua porta de dados local, a porta 20.

FTP passivo

No modo de FTP passivo, o cliente inicia ambas as conexões para o servidor, o que resolve oproblema de um firewall que filtra a conexão da porta de dados de entrada para o cliente doservidor. Quando uma conexão de FTP é aberta, o cliente abre duas portas unprivilegedaleatórias localmente. A primeira porta contacta o server na porta 21. Mas em vez então de emitirum comando port e de permitir que o server conecte de volta a seus dados mova, os problemasde cliente o comando pasv. O resultado é que o servidor abre uma porta não privilegiada aleatória(P > 1023) e envia o comando port P para o cliente. O cliente inicia então a conexão da portaN>1023 para mover P no server para transferir dados. Sem o comando de configuraçãoinspection no Security Appliance, o FTP de usuários internos direcionado para fora da redefunciona somente no modo passivo. Além disso, os usuários externos que tentarem acessar seuservidor FTP interno terão o acesso negado.

TFTP

O TFTP, conforme descrito na RFC 1350, é um protocolo simples para ler e gravar arquivos entreum servidor e um cliente TFTP. O TFTP usa a porta 69 do UDP.

Gerenciamento Avançado de Protocolos

Por que você precisa a inspeção FTP?

Alguns aplicativos necessitam de gerenciamento especial pelas funções de inspeção deaplicativos do Cisco Security Appliance. Esses tipos de aplicativos normalmente incorporaminformações de endereçamento IP no pacote de dados do usuário ou abrem canais secundáriosem portas atribuídas dinamicamente. A função de inspeção de aplicativos funciona com oNetwork Address Translation (NAT) para ajudar a identificar o local das informações deendereçamento incorporadas.

Além da identificação das informações de endereçamento incorporadas, a função de inspeção deaplicativos monitora as sessões para determinar os números de porta para canais secundários.Muitos protocolos abrem portas TCP ou UDP secundárias para aprimorar o desempenho. Asessão inicial em uma porta bem conhecida é usada para negociar números de portas atribuídosdinamicamente.

A função de inspeção de aplicativos monitora essas sessões, identifica as atribuições de portasdinâmicas e permite a troca de dados nessas portas pela duração das sessões específicas.Aplicativos multimídia e de FTP exibem esse tipo de comportamento.

Se a inspeção FTP não foi permitida na ferramenta de segurança, este pedido está rejeitado e assessões de FTP não transmitem nenhuns dados pedidos.

Se a inspeção FTP é permitida no ASA, a seguir o ASA monitora o canal de controle e tenta-o

http://www.ietf.org/rfc/rfc1350.txt?number=1350

reconhecer um pedido abrir o canal de dados. O protocolo FTP incorpora as especificações deporta do canal de dados no tráfego do canal de controle, o que exige que o Security Applianceinspecione o canal de controle em busca de alterações nas portas de dados.

Uma vez que o ASA reconhece um pedido, cria temporariamente uma abertura para o tráfego docanal de dados que dura para a vida da sessão. Desta forma, a função de inspeção de FTPmonitora o canal de controle, identifica uma atribuição de porta de dados e permite que os dadossejam trocados na porta de dados durante a sessão.

O ASA inspeciona conexões da porta 21 para o tráfego FTP à revelia com o mapa de classe daglobal-inspeção. O Security Appliance também reconhece a diferença entre sessões de FTPativas e passivas.

Se as sessões de FTP apoiam transferência de dados do FTP passivo, o ASA através docomando ftp da inspeção, reconhece o pedido da porta dos dados do usuário e abre uma portanova dos dados maior de 1023.

A inspeção do comando ftp da inspeção inspeciona sessões de FTP e executa quatro tarefas:

Prepara uma conexão de dados secundária dinâmica.●

Acompanha a seqüência de comandos e respostas do FTP.●

Gera uma trilha de auditoria.●

Converte os endereços IP incorporados usando o NAT.●

A inspeção de aplicativos de FTP prepara os canais de dados secundários para a transferênciade dados de FTP. Os canais são alocados em resposta a um upload de arquivo, a um downloadde arquivo ou a um evento de listagem de diretório, e todos devem ser pré-negociados. A porta énegociada por meio dos comandos PORT ou PASV (227).

Cenários de configuração

Note: Todos os cenários de rede abaixo são explicados com a inspeção FTP permitida noASA.

Cenário 1: Cliente de FTP configurado para o modo ativo

Cliente conectado à rede interna do ASA e ao server na rede externa.

Diagrama de Rede

Note: Os esquemas de endereçamento IP usados nesta configuração não são legalmenteroteáveis na Internet.

Segundo as indicações desta imagem, a instalação de rede usada tem o ASA com o cliente narede interna com IP 172.16.1.5. O server está na rede externa com IP 192.168.1.15. O cliente temum IP traçado 192.168.1.5 na rede externa.

Não há nenhuma necessidade de permitir nenhuma lista de acesso na interface externa porque ainspeção FTP abre o canal da porta dinâmica.

Exemplo de configuração

ASA Version 9.1(5)

!

hostname ASA

domain-name corp.com

enable password WwXYvtKrnjXqGbu1 encrypted

names

!

interface GigabitEthernet0/0

nameif Outside

security-level 0

ip address 192.168.1.2 255.255.255.0

!


nameif Inside

security-level 50

ip address 172.16.1.12 255.255.255.0

!


shutdown

no nameif

no security-level

no ip address

!


shutdown

no nameif

no security-level

no ip address

!

interface Management0/0

management-only

shutdown

no nameif

no security-level

no ip address

!--- Output is suppressed. !--- Object groups is created to define the host.

object network obj-172.16.1.5

subnet 172.16.1.0 255.255.255.0

!--- Object NAT is created to map Inside Client to Outside subnet IP.


nat (Inside,Outside) dynamic 192.168.1.5

class-map inspection_default

match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

parameters

message-length maximum 512

policy-map global_policy

class inspection_default

inspect dns preset_dns_map

inspect ftp

inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

!

!--- This command tells the device to

!--- use the "global_policy" policy-map on all interfaces.

service-policy global_policy global

prompt hostname context

Cryptochecksum:4b2f54134e685d11b274ee159e5ed009

: end

ASA(config)#

Verificar

Conexão

Client in Inside Network running ACTIVE FTP:

Ciscoasa(config)# sh conn

3 in use, 3 most used

TCP Outside 192.168.1.15:20 inside 172.16.1.5:61855, idle 0:00:00, bytes 145096704, flags UIB <-

-- Dynamic Connection Opened

TCP Outside 192.168.1.15:21 inside 172.16.1.5:61854, idle 0:00:00, bytes 434, flags UIO

Aqui o interior do cliente dentro inicia a conexão com a porta de origem 61854 à porta do destino21. O cliente envia então o comando port com valor da tupla 6. O inturn do server inicia a conexãode dados secundária com porta de origem de 20 e a porta do destino é calculada das etapasmencionadas após estas captações.

Interface interna da captação

Interface externa da captação

O valor de porta é calculado usando o último touple dois fora de seis. A tupla da esquerda 4 éendereço IP de Um ou Mais Servidores Cisco ICM NT e o touple 2 é para a porta. Segundo asindicações desta imagem, o endereço IP de Um ou Mais Servidores Cisco ICM NT é 192.168.1.5e 241*256 + 159 = 61855.

A captação igualmente mostra que os valores com comandos port estão mudados quando a

inspeção FTP é permitida. A captação da interface interna mostra o valor real do IP e da portaenviada pelo cliente para que o server conecte ao cliente para o endereço traçado mostras dacaptação do canal de dados e da interface externa.

Cenário 2: Cliente de FTP configurado para o modo passivo.

Cliente na rede interna do ASA e no server na rede externa.

Diagrama de Rede

Conexão

Client in Inside Network running Passive Mode FTP:

ciscoasa(config)# sh conn


TCP Outside 192.168.1.15:60142 inside 172.16.1.5:61839, idle 0:00:00, bytes 184844288, flags UI

<--- Dynamic Connection Opened.


Aqui o interior do cliente dentro inicia uma conexão com a porta de origem 61838 a porta dodestino de 21. Porque é um FTP passivo, o cliente inicia ambas as conexões.Consequentemente, depois que o cliente envia o comando pasv, as respostas do server comseus valor e cliente da tupla 6 conectam a esse soquete para a conexão de dados.

Interface interna da captação


O cálculo para as portas permanece o mesmo.

Como mencionado mais cedo, o ASA reescreve os valores encaixados IP se a inspeção FTP épermitida. Igualmente abre um canal da porta dinâmica para a conexão de dados.

Estes são os detalhes da conexão se a inspeção FTP é desabilitada

Conexão





Sem inspeção FTP, tenta somente enviar repetidas vezes o comando port mas não há nenhumaresposta porque fora de recebe a PORTA com IP original não NATTed um. Mesmo foi mostradodentro abaixo da descarga.

A inspeção FTP pode ser desabilitada sem o comando ftp 21 do fixup protocol no modo terminalde configuração.

Sem inspeção FTP, somente o comando pasv trabalha quando o cliente é dentro interior porquenão há lá está nenhum comando port que vem do interior de qual precisa de ser encaixado eambas as conexões são iniciadas do interior.

Cenário 3: Cliente de FTP configurado para o modo ativo

Cliente na rede externa do ASA e no server na rede do DMZ.

Diagrama de Rede

Configuração

ASA(config)#show running-config

ASA Version 9.1(5)

!

hostname ASA



names

!


nameif Outside

security-level 0

ip address 192.168.1.2 255.255.255.0

!


nameif DMZ

security-level 50

ip address 172.16.1.12 255.255.255.0

!


shutdown

no nameif

no security-level

no ip address

!


shutdown

no nameif

no security-level

no ip address

!


management-only

shutdown

no nameif

no security-level

no ip address

!--- Output is suppressed.

!--- Permit inbound FTP control traffic.

access-list 100 extended permit tcp any host 192.168.1.5 eq ftp

!--- Object groups are created to define the hosts.


host 172.16.1.5

!--- Object NAT is created to map FTP server with IP of Outside Subnet.


nat (DMZ,Outside) static 192.168.1.5

access-group 100 in interface outside

class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns

preset_dns_map parameters message-length maximum 512 policy-map global_policy



inspect ftp

inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

!






: end

ASA(config)#

Verificar

Conexão

Client in Outside Network running in Active Mode FTP:



TCP outside 192.168.1.15:55836 DMZ 172.16.1.5:21, idle 0:00:00, bytes 470, flags UIOB

TCP outside 192.168.1.15:55837 DMZ 172.16.1.5:20, idle 0:00:00, bytes 225595694, flags UI <---

Dynamic Port channel

Relação da captação DMZ


Aqui o cliente é cliente 192.168.1.15 do modo ativo das corridas e inicia a conexão ao server no

DMZ na porta 21. O cliente envia então o comando port com seis valores da tupla ao serverconectar a essa porta dinâmica específica. O server inicia então a conexão de dados com portade origem como 20.

Encenação 4: Modo passivo running do cliente de FTP

Cliente na rede externa do ASA e no server na rede do DMZ.

Diagrama de Rede

Conexão

Client in Outside Network running in Passive Mode FTP:



TCP Outside 192.168.1.15:60071 DMZ 172.16.1.5:61781, idle 0:00:00, bytes 184718032, flags UOB <-

-- Dynamic channel Open

TCP Outside 192.168.1.15:60070 DMZ 172.16.1.5:21, idle 0:00:00, bytes 413,

flags UIOB

Relação da captação DMZ


Configuração da Inspeção Básica de Aplicativos de FTP

Por padrão, a configuração inclui uma política que corresponde a todo o tráfego de inspeção deaplicativos padrão e aplica a inspeção ao tráfego em todas as interfaces (uma política global). Otráfego de inspeção de aplicativos padrão inclui o tráfego para as portas padrão para cadaprotocolo.

Épossível aplicar somente uma política global. Assim, se desejar alterar a política global, porexemplo, para aplicar inspeção a portas não padrão ou adicionar inspeções que não sãohabilitadas por padrão, você deverá editar a política padrão ou desabilitá-la e aplicar uma novapolítica. Para obter uma lista de todas as portas padrão, consulte Política de Inspeção Padrão.

Execute o comando policy-map global_policy. ASA(config)#policy-map global_policy

1.

//www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/inspect_overview.html#wp1536127

//www.cisco.com/en/US/docs/security/asa/asa83/command/reference/p.html#wp1931416



Execute o comando class inspection_default. ASA(config-pmap)#class inspection_default

2.

Execute o comando inspect FTP. ASA(config-pmap-c)#inspect FTP

3.

Há a opção de usar o comando inspect FTP strict. Esse comando aumenta a segurança dasredes protegidas ao impedir que um navegador da Web envie comandos incorporados emsolicitações de FTP. Após você habilitar a opção strict em uma interface, a inspeção de FTPpassará a impor este comportamento.Um comando ftp deve ser reconhecido antes que aferramenta de segurança permita um comando newA ferramenta de segurança deixa cairuma conexão que envie comandos encaixadosOs 227 e os comandos port são verificadosassegurar-se de que não apareçam em uma série de erroaviso: O uso da opção restritapôde causar a falha dos clientes de FTP que não são restritamente complacentes com FTPRFC. Consulte Uso da Opção strict para obter mais informações sobre o uso da opção strict.

4.

Configurar a inspeção do protocolo de FTP na porta TCP não padronizada

Você pode configurar a inspeção do protocolo de FTP para portas TCP não padronizadas comestas linhas de configuração (substitua o com o número de porta novo):

access-list ftp-list extended permit tcp any any eq XXXX

!

class-map ftp-class

match access-list ftp-list

!


class ftp-class

inspect ftp

Verificar

A fim assegurar-se de que a configuração tome com sucesso, use o comando service-policy damostra. Também, limite a saída à inspeção FTP que usa somente a serviço-política da mostrainspecionam o comando ftp.

ASA#show service-policy inspect ftp

Global Policy:

Service-policy: global_policy

Class-map: inspection_default

Inspect: ftp, packet 0, drop 0, reste-drop 0

ASA#

TFTP

A inspeção de TFTP é habilitada por padrão.

O Security Appliance inspeciona o tráfego de TFTP e cria dinamicamente conexões e conversõese, se necessário, permite a transferência de arquivos entre um cliente e um servidor TFTP.Especificamente, o mecanismo de inspeção inspeciona solicitações de leitura (RRQ), solicitaçõesde gravação (WRQ) e notificações de erro (ERROR) do TFTP.

Um canal secundário dinâmico e uma conversão PAT, se necessários, são alocados mediante o

//www.cisco.com/en/US/docs/security/asa/asa83/command/reference/c1.html#wp2159579



//www.cisco.com/en/US/docs/security/asa/asa83/command/reference/i2.html#wp1764962






//www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/inspect_basic.html#wp1948141

//www.cisco.com/en/US/docs/security/asa/asa83/command/reference/s7.html#wp1340205


recebimento de uma RRQ ou WRQ válida. Este canal secundário é subseqüentemente usadopelo TFTP para a transferência de arquivos ou a notificação de erros.

Somente o servidor TFTP pode iniciar o tráfego via canal secundário, e no máximo um canalsecundário incompleto pode existir entre o cliente e o servidor TFTP. Uma notificação de erro doservidor fecha o canal secundário.

A inspeção TFTP deve ser permitida se a PANCADINHA fstatic é usada para reorientar o tráfegoTFTP.

Configuração da Inspeção Básica de Aplicativos de TFTP

Por padrão, a configuração inclui uma política que corresponde a todo o tráfego de inspeção deaplicativos padrão e aplica a inspeção ao tráfego em todas as interfaces (uma política global). Otráfego de inspeção de aplicativos padrão inclui o tráfego para as portas padrão para cadaprotocolo.

Épossível aplicar somente uma política global. Assim, se desejar alterar a política global, porexemplo, para aplicar inspeção a portas não padrão ou adicionar inspeções que não sãohabilitadas por padrão, você deverá editar a política padrão ou desabilitá-la e aplicar uma novapolítica. Para obter uma lista de todas as portas padrão, consulte Política de Inspeção Padrão.

Execute o comando policy-map global_policy. ASA(config)#policy-map global_policy

1.

Execute o comando class inspection_default. ASA(config-pmap)#class inspection_default

2.

Execute o comando inspect TFTP. ASA(config-pmap-c)#inspect TFTP

3.

Diagrama de Rede

Aqui o cliente configurado dentro na rede externa. O servidor TFTP é colocado na rede do DMZ.O server é traçado ao IP 192.168.1.5 que está na sub-rede exterior.

//www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/inspect_overview.html#wp1536127










Exemplo de configuração

ASA(config)#show running-config

ASA Version 9.1(5)

!

hostname ASA



names

!


nameif Outside

security-level 0

ip address 192.168.1.2 255.255.255.0

!


nameif DMZ

security-level 50

ip address 172.16.1.12 255.255.255.0

!


shutdown

no nameif

security-level 100

ip address 10.1.1.1 255.255.255.0

!


shutdown

no nameif

no security-level

no ip address

!


management-only

shutdown

no nameif

no security-level

no ip address

!--- Output is suppressed. !--- Permit inbound TFTP traffic. access-list 100 extended permit udp

any host 192.168.1.5 eq tftp

!

!--- Object groups are created to define the hosts.


host 172.16.1.5

!--- Object NAT to map TFTP server to IP in Outside Subnet.


nat (DMZ,Outside) static 192.168.1.5

access-group 100 in interface outside



!

!

policy-map type inspect dns preset_dns_map

parameters

message-length maximum 512




inspect ftp

inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

!






: end

ASA(config)#

Verificar

A fim assegurar a configuração com sucesso tomou, usa o comando service-policy da mostra.Também, limite a saída à inspeção TFTP que usa somente a serviço-política da mostrainspecionam o comando tftp.

ASA#show service-policy inspect tftp

Global Policy:

Service-policy: global_policy

Class-map: inspection_default

Inspect: tftp, packet 0, drop 0, reste-drop 0

ASA#

Projétil luminoso do pacote

Cliente na rede interna

FTP client Inside - Packet Tracer for Control Connection : Same Flow for Active and Passive.

# packet-tracer input inside tcp 172.16.1.5 12345 192.168.1.15 21 det

-----Omitted------

Phase: 5

Type: INSPECT

Subtype: inspect-ftp

Result: ALLOW

Config:







inspect ftp


Additional Information:

Forward Flow based lookup yields rule:

in id=0x76d9a120, priority=70, domain=inspect-ftp, deny=false

hits=2, user_data=0x76d99a30, cs_id=0x0, use_real_addr, flags=0x0, protocol=6

src ip/id=0.0.0.0, mask=0.0.0.0, port=0

dst ip/id=0.0.0.0, mask=0.0.0.0, port=21, dscp=0x0

input_ifc=inside, output_ifc=any

Phase: 6

Type: NAT

Subtype:

Result: ALLOW

Config:


nat (inside,outside) static 192.168.1.5


NAT divert to egress interface DMZ

translate 172.16.1.5/21 to 192.168.1.5/21

Phase: 7

Type: NAT

Subtype: rpf-check

Result: ALLOW

Config:


nat (inside,outside) static 192.168.1.5



out id=0x76d6e308, priority=6, domain=nat-reverse, deny=false

hits=15, user_data=0x76d9ef70, cs_id=0x0, use_real_addr, flags=0x0, protocol=0



input_ifc=inside, output_ifc=outside

----Omitted----

Result:

input-interface: inside

input-status: up

input-line-status: up

output-interface: Outside

output-status: up

output-line-status: up

Action: allow

Cliente na rede externa

FTP client Outside - Packet Tracer for Control Connection : Same Flow for Active and Passive

# packet-tracer input outside tcp 192.168.1.15 12345 192.168.1.5 21 det

Phase: 1

Type: UN-NAT

Subtype: static

Result: ALLOW

Config:


nat (DMZ,outside) static 192.168.1.5


NAT divert to egress interface DMZ

Untranslate 192.168.1.5/21 to 172.16.1.5/21

-----Omitted-----

Phase: 4

Type: INSPECT

Subtype: inspect-ftp

Result: ALLOW

Config:





inspect ftp




in id=0x76d84700, priority=70, domain=inspect-ftp, deny=false

hits=17, user_data=0x76d84550, cs_id=0x0, use_real_addr, flags=0x0, protocol=6



input_ifc=outside, output_ifc=any

Phase: 5

Type: NAT

Subtype: rpf-check

Result: ALLOW

Config:


nat (DMZ,outside) static 192.168.1.5



out id=0x76d6e308, priority=6, domain=nat-reverse, deny=false

hits=17, user_data=0x76d9ef70, cs_id=0x0, use_real_addr, flags=0x0, protocol=0



input_ifc=outside, output_ifc=DMZ

----Omitted-----

Result:

input-interface: Outside

input-status: up

input-line-status: up

output-interface: DMZ

output-status: up

output-line-status: up

Action: allow

Como visto em ambos os pacote-projétis luminosos, o tráfego bate suas declarações NAT epolítica respectivas da inspeção FTP. Igualmente saem de suas interfaces requerida.

Durante a pesquisa de defeitos você pode tentar capturar o ingresso e interfaces de saída ASA ever se a reescrita do endereço IP incorporado ASA está trabalhando muito bem e para verificar a

conexão se a porta dinâmica está sendo permitida no ASA.

ASA 9.x: Configurar serviços FTP/TFTP - cisco.com · Os canais são alocados em resposta a um...

Documents

Transcript of ASA 9.x: Configurar serviços FTP/TFTP - cisco.com · Os canais são alocados em resposta a um...