博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 2396|回复: 2

ASA防火墙疑难杂症解答

[复制链接]
发表于 2008-4-26 06:30:38 | 显示全部楼层 |阅读模式
1.  内部网络不能ping通internet...................................... 1

2.  内部网络不能使用pptp拨入vpn服务器.............................. 1

3.  内部网络不能通过被动Mode访问ftp服务器.......................... 1

4.  内部网络不能进行ipsec NAT........................................ 2

5.  内网不能访问DMZ区服务器......................................... 2

6.  内网用户不能ping web服务器...................................... 2



1.      内部网络不能ping通internet
对于ASA5510,只要策略允许,则是可以Ping通的,对于ASA550,部分IOS可以ping,如果所以流量都允许还是不能Ping的话,则需要做inspect,对icmp协议进行检查即可

2.      内部网络不能使用pptp拨入vpn服务器
因pptp需要连接TCP 1723端口,同时还需要GRE协议,如果防火墙是linux的Iptables,则需要加载:

modprobe ip_nat_pptp           > /dev/null 2>&1

modprobe ip_conntrack_proto_gre > /dev/null 2>&1

        如果防火墙是ASA,则需要inspect pptp。

3.      内部网络不能通过被动Mode访问ftp服务器
同样需要inspect ftp,有些还需要检查相关参数

policy-map type inspect ftp ftpaccess

parameters

match request-command appe cdup help get rnfr rnto put stou site dele mkd rmd

4.      内部网络不能进行ipsec NAT
这种情况不多用,如查进行ipsect :IPSec Pass Through

5.      内网不能访问DMZ区服务器
增加NAT规则,即DMZ到内网的规则

6.      内网用户不能ping web服务器
如果内网中有一台web服务器,且已经配置了NAT,使用internet用户可以通过外部IP访问这台web服务器。这时如果内网中的机器不能ping这台web服务器,则在配置NAT时,进行DNS rewrite即可,如果故障依然,可以试着关闭arp代理。
发表于 2008-7-3 15:24:51 | 显示全部楼层
强烈支持,好文章要顶
发表于 2008-7-4 17:50:19 | 显示全部楼层
ding ding ding ding
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-24 08:40 , Processed in 0.083589 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表