ASA 5520 防火墙 ping 问题

李壑彝 · 发表于 2017-8-11 10:58:40

      公司出口有一台防火墙ASA 5520 ，icmp 的配置如下：

access-list inside extended permit icmp any any
access-list ISP  extended permit icmp any any
access-group inside in interface inside
access-group ISP in interface ISP

这样配置我其实没啥疑问，但是我想不让外网ping 内部映射的地址，所以去掉了
access-list ISP  extended permit icmp any any   ----- 这条命令

同时发现内网ping公网的地址都ping 不通了，这个就有点不明白了，

例如如下内网IP 访问公网80端口，只需要
access-list inside extended permit tcp host 10.1.1.101 any eq www

就可以了，icmp 为嘛还需要一条外部对内部的策略呢，希望大神帮忙看看，还是我哪里理解有错误，谢谢！

bukesiyi · 发表于 2017-8-11 10:58:41

防火墙没有对ICMP进行状态化检测，ping包能出去，回包却进不来，你需要在ISP接口上配置ACL允许回包进来，或者对ICMP进行状态化检测

SZXLINDAGUANG · 发表于 2017-8-11 11:47:13

你可以放开从outside - inside ICPM replay

zhurx · 发表于 2017-8-11 13:48:49

access-group ISP in interface ISP
access-list ISP extended permit icmp any any

去掉了 access-list ISP extended permit icmp any any
内网ping公网的地址都ping 不通了

我的解释：这样的理解是不对的。
ACL ISP只与从外网 ping 你 NATed outside 接口的公网IP有关。与你inside 接口内的IP ping "outside 出去的外网IP ”一点关系都没有。

至于你需要从inside 内的IP ping 出去。两种方案：
option 1: (全局启用icmp 检测）
class inspection_default
inspect icmp

option2: ALC放行。。
看你的示例acl 放inside 接口上运用的 1. 所有出去的icmp都可以，当然必须是outbound流量，2.只有从10.1.1.101 出去的http流量可以通行，其他的流量都拒了。所以在inside 接口上启用acl要想仔细需求。
access-list inside extended permit tcp host 10.1.1.101 any eq www
access-list inside extended permit icmp any any
access-group inside in interface inside

这些是我的个人理解。

李壑彝 · 发表于 2017-8-11 14:04:32

zhurx 发表于 2017-8-11 13:48
access-group ISP in interface ISP
access-list ISP extended permit icmp any any

嗯嗯，你的理解是对的，我查到官方文档了，谢谢哈

李壑彝 · 发表于 2019-2-18 18:52:35

李壑彝 · 发表于 2019-2-18 18:52:41

李壑彝 · 发表于 2019-2-18 18:52:47

李壑彝 · 发表于 2019-2-18 18:52:56

李壑彝 · 发表于 2019-2-18 18:53:03

李壑彝 · 发表于 2019-2-18 18:53:10

李壑彝 · 发表于 2019-2-18 18:53:18

李壑彝 · 发表于 2019-2-18 18:53:26

李壑彝 · 发表于 2019-2-18 18:53:34

李壑彝 · 发表于 2019-2-18 18:53:40

账号		自动登录	找回密码
密码			论坛注册

[求助] ASA 5520 防火墙 ping 问题

最佳答案

客服中心

投诉建议