Всем привет и заранее спасибо за помощь. У меня возникла проблема с получением моего брандмауэра cisco (asa 5505) для проверки связи между зонами. Внутренняя зона не будет связываться с внешней зоной и наоборот. Но я могу заставить внутреннюю зону пинговать с DMZ, а внешняя зона может пинговать с DMZ. По какой-то причине я не могу заставить внутреннюю и внешнюю стороны принимать сигналы друг от друга. Все это было сделано с использованием интерфейса командной строки / консоли и было бы признательно, если бы ответы не включали использование ASDM (я не могу использовать ASDM по причинам). Я перепробовал множество поисковых запросов в Google, но ни одно из решений не помогло мне и не включало использование ASDM.
Я думаю, что это NAT (не совсем моя сильная сторона, никогда не было). Однако я включил большую часть своей конфигурации запуска / запуска. Некоторая информация была опущена (например, имя хоста и пароли).
!
ASA Version 7.2(4)
interface Ethernet0/0
description inside network
nameif inside
security-level 100
ip address 10.27.6.2 255.255.255.252
!
interface Ethernet0/1
description DMZ network
nameif DMZ
security-level 50
ip address 10.65.4.1 255.255.255.0
!
interface Ethernet0/2
description outside network
nameif outside
security-level 0
ip address 209.65.5.2 255.255.255.0
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
ftp mode passive
access-list outside extended permit tcp any any eq smtp
access-list outside extended permit udp any any eq domain
access-list outside extended permit tcp any any eq www
access-list outside extended permit icmp any any
access-list DMZ extended permit tcp any any eq smtp
access-list DMZ extended permit tcp any any eq 50636
access-list DMZ extended permit tcp any any eq domain
access-list DMZ extended permit tcp any any eq www
access-list DMZ extended permit udp any any eq domain
access-list DMZ extended permit icmp any any
pager lines 24
mtu inside 1500
mtu DMZ 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
global (DMZ) 1 10.65.4.10-10.65.4.30
global (DMZ) 1 10.65.4.31
global (outside) 1 interface
nat (inside) 1 10.25.0.0 255.255.0.0
static (inside,DMZ) 10.25.0.0 10.25.0.0 netmask 255.255.0.0
static (outside,DMZ) 10.65.4.2 209.65.5.3 netmask 255.255.255.255
static (outside,DMZ) 10.65.4.3 209.65.5.4 netmask 255.255.255.255
access-group DMZ in interface DMZ
access-group outside in interface outside
route inside 10.25.0.0 255.255.0.0 10.27.6.1 1
route outside 0.0.0.0 0.0.0.0 209.65.5.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map icmp-class
match default-inspection-traffic
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect icmp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:bfa954ee3900016b01cca15cfcf36eec
: end
В приведенном выше блоке текста строки, касающиеся статического NAT для внешнего и DMZ, например static (outside,DMZ) 10.65.4.X 209.65.5.X изначально был static (DMZ,outside) 209.65.5.X 10.65.4.X однако я прочитал, что было плохой практикой отображать более высокий уровень секунды на более низкий, поэтому я изменил его. Я также попытался переключить ACL, чтобы разрешить все для тестирования, используя ip any any вместо того, что я действительно хочу пройти, но все еще безрезультатно. Спасибо за просмотр этой гигантской стены текста и за любые советы, это очень ценно.