Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1820667
  • 博文数量: 116
  • 博客积分: 9934
  • 博客等级: 上将
  • 技术积分: 1881
  • 用 户 组: 普通用户
  • 注册时间: 2006-04-22 09:16
文章分类

全部博文(116)

文章存档

2007年(43)

2006年(73)

我的朋友

分类: 系统运维

2007-03-24 09:46:33

ASA防火墙疑难杂症解答

(姜道友 2007-01-20

 

1.  内部网络不能pinginternet...................................... 1

2.  内部网络不能使用pptp拨入vpn服务器.............................. 1

3.  内部网络不能通过被动Mode访问ftp服务器.......................... 1

4.  内部网络不能进行ipsec NAT........................................ 2

5.  内网不能访问DMZ区服务器......................................... 2

6.  内网用户不能ping web服务器...................................... 2

 

internet

对于ASA5510,只要策略允许,则是可以Ping通的,对于ASA550,部分IOS可以ping,如果所以流量都允许还是不能Ping的话,则需要做inspect,对icmp协议进行检查即可

拨入vpn服务器

pptp需要连接TCP 1723端口,同时还需要GRE协议,如果防火墙是linuxIptables,则需要加载:

modprobe ip_nat_pptp           > /dev/null 2>&1

modprobe ip_conntrack_proto_gre > /dev/null 2>&1

        如果防火墙是ASA,则需要inspect pptp

访问ftp服务器

同样需要inspect ftp,有些还需要检查相关参数

policy-map type inspect ftp ftpaccess

parameters

match request-command appe cdup help get rnfr rnto put stou site dele mkd rmd

这种情况不多用,如查进行ipsect IPSec Pass Through

区服务器

增加NAT规则,即DMZ到内网的规则

服务器

如果内网中有一台web服务器,且已经配置了NAT,使用internet用户可以通过外部IP访问这台web服务器。这时如果内网中的机器不能ping这台web服务器,则在配置NAT时,进行DNS rewrite即可,如果故障依然,可以试着关闭arp代理。

7.      待续

………………….

阅读(5574) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~