ASA防火墙疑难杂症解答
2015-12-17 04:26
337 查看
1. 内部网络不能ping通internet
对于ASA5510,只要策略允许,则是可以Ping通的,对于ASA550,部分IOS可以ping,如果所以流量都允许还是不能Ping的话,则需要做inspect,对icmp协议进行检查即可
2. 内部网络不能使用pptp拨入***服务器
因pptp需要连接TCP 1723端口,同时还需要GRE协议,如果防火墙是linux的Iptables,则需要加载:
modprobe ip_nat_pptp > /dev/null 2>&1
modprobe ip_conntrack_proto_gre > /dev/null 2>&1
如果防火墙是ASA,则需要inspect pptp。
3. 内部网络不能通过被动Mode访问ftp服务器
同样需要inspect ftp,有些还需要检查相关参数
policy-map type inspect ftp ftpaccess
parameters
match request-command appe cdup help get rnfr rnto put stou site dele mkd rmd
4. 内部网络不能进行ipsec NAT
这种情况不多用,如查进行ipsect :IPSec Pass Through
5. 内网不能访问DMZ区服务器
增加NAT规则,即DMZ到内网的规则
6. 内网用户不能ping web服务器
如果内网中有一台web服务器,且已经配置了NAT,使用internet用户可以通过外部IP访问这台web服务器。这时如果内网中的机器不能ping这台web服务器,则在配置NAT时,进行DNS rewrite即可,如果故障依然,可以试着关闭arp代理。
对于ASA5510,只要策略允许,则是可以Ping通的,对于ASA550,部分IOS可以ping,如果所以流量都允许还是不能Ping的话,则需要做inspect,对icmp协议进行检查即可
2. 内部网络不能使用pptp拨入***服务器
因pptp需要连接TCP 1723端口,同时还需要GRE协议,如果防火墙是linux的Iptables,则需要加载:
modprobe ip_nat_pptp > /dev/null 2>&1
modprobe ip_conntrack_proto_gre > /dev/null 2>&1
如果防火墙是ASA,则需要inspect pptp。
3. 内部网络不能通过被动Mode访问ftp服务器
同样需要inspect ftp,有些还需要检查相关参数
policy-map type inspect ftp ftpaccess
parameters
match request-command appe cdup help get rnfr rnto put stou site dele mkd rmd
4. 内部网络不能进行ipsec NAT
这种情况不多用,如查进行ipsect :IPSec Pass Through
5. 内网不能访问DMZ区服务器
增加NAT规则,即DMZ到内网的规则
6. 内网用户不能ping web服务器
如果内网中有一台web服务器,且已经配置了NAT,使用internet用户可以通过外部IP访问这台web服务器。这时如果内网中的机器不能ping这台web服务器,则在配置NAT时,进行DNS rewrite即可,如果故障依然,可以试着关闭arp代理。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 