ASA防火墙疑难杂症解答

network

ASA防火墙疑难杂症解答

（姜道友 2007-01-20）

1.
内部网络不能ping通internet...................................... 1
2.
内部网络不能使用pptp拨入vpn服务器.............................. 1
3.
内部网络不能通过被动Mode访问ftp服务器.......................... 1
4.
内部网络不能进行ipsec NAT........................................ 2
5.
内网不能访问DMZ区服务器......................................... 2
6.
内网用户不能ping web服务器...................................... 2

1.
内部网络不能ping通internet对于ASA5510，只要策略允许，则是可以Ping通的，对于ASA550，部分IOS可以ping，如果所以流量都允许还是不能Ping的话，则需要做inspect，对icmp协议进行检查即可
2.
内部网络不能使用pptp拨入vpn服务器因pptp需要连接TCP 1723端口，同时还需要GRE协议，如果防火墙是linux的Iptables，则需要加载：
modprobe ip_nat_pptp
> /dev/null 2>&1
modprobe ip_conntrack_proto_gre > /dev/null 2>&1

如果防火墙是ASA，则需要inspect pptp。
3.
内部网络不能通过被动Mode访问ftp服务器同样需要inspect ftp，有些还需要检查相关参数
policy-map type inspect ftp ftpaccess
parameters
match request-command appe cdup help get rnfr rnto put stou site dele mkd rmd
4.
内部网络不能进行ipsec NAT这种情况不多用，如查进行ipsect ：IPSec Pass Through
5.
内网不能访问DMZ区服务器增加NAT规则，即DMZ到内网的规则
6.
内网用户不能ping web服务器如果内网中有一台web服务器，且已经配置了NAT，使用internet用户可以通过外部IP访问这台web服务器。这时如果内网中的机器不能ping这台web服务器，则在配置NAT时，进行DNS rewrite即可，如果故障依然，可以试着关闭arp代理。
7.
待续