分类: 系统运维
2007-03-24 09:46:33
ASA防火墙疑难杂症解答
(姜道友
1. 内部网络不能ping通internet...................................... 1
2. 内部网络不能使用pptp拨入vpn服务器.............................. 1
3. 内部网络不能通过被动Mode访问ftp服务器.......................... 1
4. 内部网络不能进行ipsec NAT........................................ 2
5. 内网不能访问DMZ区服务器......................................... 2
6. 内网用户不能ping web服务器...................................... 2
对于ASA5510,只要策略允许,则是可以Ping通的,对于ASA550,部分IOS可以ping,如果所以流量都允许还是不能Ping的话,则需要做inspect,对icmp协议进行检查即可
因pptp需要连接TCP 1723端口,同时还需要GRE协议,如果防火墙是linux的Iptables,则需要加载:
modprobe ip_nat_pptp > /dev/null 2>&1
modprobe ip_conntrack_proto_gre > /dev/null 2>&1
如果防火墙是ASA,则需要inspect pptp。
同样需要inspect ftp,有些还需要检查相关参数
policy-map type inspect ftp ftpaccess
parameters
match request-command appe cdup help get rnfr rnto put stou site dele mkd rmd
这种情况不多用,如查进行ipsect :
增加NAT规则,即DMZ到内网的规则
如果内网中有一台web服务器,且已经配置了NAT,使用internet用户可以通过外部IP访问这台web服务器。这时如果内网中的机器不能ping这台web服务器,则在配置NAT时,进行DNS rewrite即可,如果故障依然,可以试着关闭arp代理。
………………….
