asa防火墙,求解
我让它们跑ospf协议为什么r1ping不通r2,后来我配了acl,才可以。不是默认下,所有从高安全级接口别到低安全级别接口的流量都是允许的。为什么还要配acl。搞的我的头都大了。
没错,所有从高安全级接口别到低安全级别接口的流量都是允许的,但ping包数据出去后,r2做回应的包默认情况下是不能穿越ASA的,所以必须配ACL放过ping(icmp)包。 能出去..回不来嘛....出去的时候没问题...进来的时候就进不来了嘛...所以需要放行......
icmp request
icmp replay............. +1{:6_267:} 在路上 发表于 2013-2-3 02:37 static/image/common/back.gif
没错,所有从高安全级接口别到低安全级别接口的流量都是允许的,但ping包数据出去后,r2做回应的包默认情况 ...
我怎么没考虑到ping是双向的过程,矮油,谢谢提醒。 {:6_267:} 你的ICMP放了没? 同意楼上说的,。 在路上 发表于 2013-2-3 02:37 static/image/common/back.gif
没错,所有从高安全级接口别到低安全级别接口的流量都是允许的,但ping包数据出去后,r2做回应的包默认情况 ...
我在防火墙配了 nat (inside) 和global(outside),为什么,r1可以ping通r2,r2ping不通r1,这两个命令不是只是地址转换吗,难道也有流量控制吗。 在路上 发表于 2013-2-3 02:37 static/image/common/back.gif
没错,所有从高安全级接口别到低安全级别接口的流量都是允许的,但ping包数据出去后,r2做回应的包默认情况 ...
我在防火墙配了 nat (inside) 和global(outside),为什么,r1可以ping通r2,r2ping不通r1,这两个命令不是只是地址转换吗,难道也有流量控制吗。 gouerhuang 发表于 2013-2-3 02:44 static/image/common/back.gif
能出去..回不来嘛....出去的时候没问题...进来的时候就进不来了嘛...所以需要放行......
icmp request
我在防火墙配了 nat (inside) 和global(outside),为什么,r1可以ping通r2,r2ping不通r1,这两个命令不是只是地址转换吗,难道也有流量控制吗。 沉机 发表于 2013-2-3 18:30 static/image/common/back.gif
我在防火墙配了 nat (inside) 和global(outside),为什么,r1可以ping通r2,r2ping不通r1,这两个命令 ...
需要放行 gouerhuang 发表于 2013-2-3 20:10 static/image/common/back.gif
需要放行
放行什么,icmp我已经放行了 做了转换,里面的地址被屏蔽掉了吧...只能ping global(outside)地址了吧?? 沉机 发表于 2013-2-3 18:30 static/image/common/back.gif
我在防火墙配了 nat (inside) 和global(outside),为什么,r1可以ping通r2,r2ping不通r1,这两个命令 ...
在ASA上做静态地址和端口转换,同时如果用到某个协议(比如TCP 80端口)要放行这个端口.
页:
[1]
2