asa防火墙，求解

沉机 · 发表于 2013-2-3 01:05:42

我让它们跑ospf协议 %9SZ[BECLR]%C7G)Y%`JSAG.jpg

为什么r1ping不通r2，后来我配了acl，才可以。不是默认下，所有从高安全级接口别到低安全级别接口的流量都是允许的。为什么还要配acl。搞的我的头都大了。

在路上 · 发表于 2013-2-3 02:37:33

没错，所有从高安全级接口别到低安全级别接口的流量都是允许的，但ping包数据出去后，r2做回应的包默认情况下是不能穿越ASA的，所以必须配ACL放过ping(icmp)包。

gouerhuang · 发表于 2013-2-3 02:44:42

能出去..回不来嘛....出去的时候没问题...进来的时候就进不来了嘛...所以需要放行......

icmp request
icmp replay.............

sky.hsiao · 发表于 2013-2-3 02:47:35

沉机 · 发表于 2013-2-3 09:35:35

在路上发表于 2013-2-3 02:37
没错，所有从高安全级接口别到低安全级别接口的流量都是允许的，但ping包数据出去后，r2做回应的包默认情况 ...

我怎么没考虑到ping是双向的过程，矮油，谢谢提醒。

流浪小子 · 发表于 2013-2-3 09:37:35

鸭血粉丝 · 发表于 2013-2-3 10:02:28

你的ICMP放了没？

Nicole-Yo · 发表于 2013-2-3 10:25:34

同意楼上说的，。

沉机 · 发表于 2013-2-3 18:30:11

在路上发表于 2013-2-3 02:37
没错，所有从高安全级接口别到低安全级别接口的流量都是允许的，但ping包数据出去后，r2做回应的包默认情况 ...

我在防火墙配了 nat （inside）和global（outside），为什么，r1可以ping通r2，r2ping不通r1，这两个命令不是只是地址转换吗，难道也有流量控制吗。

沉机 · 发表于 2013-2-3 18:30:21

在路上发表于 2013-2-3 02:37
没错，所有从高安全级接口别到低安全级别接口的流量都是允许的，但ping包数据出去后，r2做回应的包默认情况 ...

我在防火墙配了 nat （inside）和global（outside），为什么，r1可以ping通r2，r2ping不通r1，这两个命令不是只是地址转换吗，难道也有流量控制吗。

沉机 · 发表于 2013-2-3 18:30:35

gouerhuang 发表于 2013-2-3 02:44
能出去..回不来嘛....出去的时候没问题...进来的时候就进不来了嘛...所以需要放行......

icmp request

我在防火墙配了 nat （inside）和global（outside），为什么，r1可以ping通r2，r2ping不通r1，这两个命令不是只是地址转换吗，难道也有流量控制吗。

gouerhuang · 发表于 2013-2-3 20:10:52

沉机发表于 2013-2-3 18:30
我在防火墙配了 nat （inside）和global（outside），为什么，r1可以ping通r2，r2ping不通r1，这两个命令 ...

需要放行

沉机 · 发表于 2013-2-3 20:15:35

gouerhuang 发表于 2013-2-3 20:10
需要放行

放行什么，icmp我已经放行了

gouerhuang · 发表于 2013-2-3 21:01:51

做了转换，里面的地址被屏蔽掉了吧...只能ping global（outside）地址了吧？？

在路上 · 发表于 2013-2-3 21:03:56

沉机发表于 2013-2-3 18:30
我在防火墙配了 nat （inside）和global（outside），为什么，r1可以ping通r2，r2ping不通r1，这两个命令 ...

在ASA上做静态地址和端口转换，同时如果用到某个协议（比如TCP 80端口)要放行这个端口.

账号		自动登录	找回密码
密码			论坛注册