отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Настройка icmp через nat на CISCO ASA 5525

Добрый день.

Имеется ASA 5525, на ней в конфиге настроен нат, часть его приведена ниже:

...
object network NLB-WWW
host 10.0.0.6
nat (inside,outside) static 84.37.31.27 service tcp www www

object network NLB-HTTPS
host 10.0.0.6
nat (inside,outside) static 84.37.31.27 service tcp https https

object network VPN-HTTPS
host 10.0.0.7
nat (inside,outside) static 84.37.31.23 service tcp https https

object network OUTSIDE_SERVERS
host 84.37.31.20

object network INSIDE_SERVERS
subnet 10.0.0.0 255.255.0.0
nat (inside,outside) dynamic OUTSIDE_SERVERS
...
access-list INCOMING extended permit tcp any host 10.0.0.6 eq www
access-list INCOMING extended permit tcp any host 10.0.0.6 eq https
access-list INCOMING extended permit tcp any host 10.0.0.7 eq https
...
access-group INCOMING in interface outside
...
policy-map global_policy
class inspection_default
...
inspect icmp

Собственно вопрос: может мне кто-нибудь объяснить, почему с самой асы (с внутреннего интерфейса) пингуются и 10.0.0.6 и 10.0.0.7, а из интернета - только 84.37.31.27, и почему он вообще пингуется?

Всё, что в конфиге связано с этими адресами приведено выше.

P.S: внешние IP-адреса - вымышленные, все совпадения с реальными - случайны.

8 ОТВЕТ.
New Member

Здравствуйте,

Здравствуйте,

Это нормальное поведение, так как внутренние (private) IP адреса всегда скрыты при использовании NAT. Нет причин для того, чтобы адреса не пинговались с самого файрвола. Трафик инициированный самим устройством не фильтруется по дефолту. Почему пингуется внешний адрес? Опять же дефолтная политика. Если Вам надо запретить это, используйте команду "no icmp permit any INTERFACE_NAME" подставив имя внешнего интерфейса.

New Member

Но всё равно остаётся

Но всё равно остаётся непонятным - почему один внешний адрес пингуется, а другой - нет? Если никаких фильтров именно на icmp не настроено.

Если Вам надо запретить это, используйте команду "no icmp permit any INTERFACE_NAME" подставив имя внешнего интерфейса.

А если необходимо запретить ping только на некоторые отдельные проброшенные адреса, а на остальные оставить?

New Member

А что у вас в 

А что у вас в 

access-group INCOMING in interface outside
New Member

Из связанного с icmp - только

Из связанного с icmp - только

access-list INCOMING extended permit icmp any any time-exceeded log
access-list INCOMING extended permit icmp any any unreachable log

Всё остальное, имеющее отношение к этим адресам - в оригинальном сообщении.

Вы используете адрес интерфейса для NAT или все адреса выделенные?

Не совсем понял смысл вопроса. Есть два "общих IP" - через один в инет выходят рабочие станции, под другим - сервера. И есть набор отдельных IP адресов для внешних сервисов. 

New Member

Я имею ввиду, адреса

Я имею ввиду, адреса используемые для NAT: 84.37.31.27 и 84.37.31.23. Какой-нибудь из них используется как адрес интерфейса?

New Member

Нет, там отдельный адрес.

Нет, там отдельный адрес.

New Member

Тогда можно попробовать

Тогда можно попробовать определить, что блокирует пинг ко второму адресу. 

packet-tracer input outside icmp x.x.x.x 0 8  84.37.31.27

эта команда эмулирует прохождение пакета через асу и говорит, где пакет был сброшен.

New Member

Насчёт пинга только к

Насчёт пинга только к определённым адресам - это наверное нужно регулировать с помощью акцесс листа. Вы используете адрес интерфейса для NAT или все адреса выделенные?

113
Просмотры
0
Полезный материал
8
Ответы
СоздатьДля создания публикации, пожалуйста в систему