我有一个Cisco ASA设置与两个接口:
内部:192.168.2.254 / 255.255.255.0 SecLevel:100外部:192.168.3.250 / 255.255.255.0 SecLevel:0
我有一个静态路由设置,允许内部networking上的PC通过外部接口(3.254)上的网关访问Internet:
外部0.0.0.0 0.0.0.0 192.168.3.254
这一切工作正常。
我现在需要能够通过端口35300上的内部接口从PC上访问外部接口(3.253)上的PC。我知道我应该可以做到这一点没有问题,因为我正在从更高的安全性级别降低到较低级别。 但是我无法获得任何连接。
我需要build立一条独立的静态路由吗? 也许上面的路线覆盖了我需要做的事情(是通过网关路由所有的stream量?)
任何build议如何做到这一点将apprecaited。
我通过ASDMconfiguration,但configuration可以看到如下:
命令结果:“show running-config”
:保存 : ASA版本8.2(5) ! 主机名ciscoasa 域名xxx.internal 名 名称192.168.2.201 dev.xxx.internal描述内部开发服务器 名称192.168.2.200 Newserver ! 接口Ethernet0 / 0 交换机端口访问VLAN 2 ! 接口Ethernet0 / 1 ! 接口Ethernet0 / 2 ! 接口Ethernet0 / 3 关掉 ! 接口Ethernet0 / 4 关掉 ! 接口Ethernet0 / 5 关掉 ! 接口Ethernet0 / 6 关掉 ! 接口Ethernet0 / 7 关掉 ! 接口Vlan1 名称里面 安全级别100 IP地址192.168.2.254 255.255.255.0 ! 接口Vlan2 外面的名字 安全级别0 IP地址192.168.3.250 255.255.255.0 ! ! 时间范围工作时间 周一至周五的9:00至18:00 ! FTP模式被动 时区时区GMT / BST 0 时钟夏令时格林尼治标准时间(GMT)/电信发展局(BDT)重复发布最后date dns域查找里面 dns服务器组DefaultDNS 名称服务器Newserver 域名xxx.internal 同一安全通信许可证接口 对象组服务Mysql tcp 端口对象公式3306 对象组协议TCPUDP 协议对象udp 协议对象tcp 访问列表inside_access_in扩展许可证ip任何任何 access-list outside_access_in remark允许OUTSDIE访问DEV SERVER! 访问列表outside_access_in扩展许可证tcp任何外部接口eq www时间范围工作时间不活动 访问列表outside_access_in扩展许可证tcp主机www-1.xxx.com接口外eq ssh 访问列表inside_access_in_1扩展许可证tcp任何任何eq www 访问列表inside_access_in_1扩展许可证tcp任何任何eq https access-list inside_access_in_1 remark连接到SSH服务 访问列表inside_access_in_1扩展许可tcp任何任何eq ssh access-list inside_access_in_1 remark连接到mysql服务器 访问列表inside_access_in_1扩展许可证tcp任何主机mysql.xxx.com对象组的Mysql 访问列表inside_access_in_1扩展许可证tcp任何主机mysql.xxx.com公式3312 access-list inside_access_in_1扩展许可证对象组TCPUDP主机Newserver任意eq域 访问列表inside_access_in_1扩展许可证icmp任何任何 访问列表inside_access_in_1备注Draytekpipe理员 access-list inside_access_in_1扩展许可证tcp任意192.168.3.0 255.255.255.0 eq 4433 访问列表inside_access_in_1注释电话系统 access-list inside_access_in_1扩展许可证tcp any 192.168.3.0 255.255.255.0 eq 35300 log disable 传呼机线路24 logging启用 loggingasdm警告 从地址[email protected] logging收件人地址[email protected]级错误 mtu 1500以内 mtu 1500以外 ipvalidation里面的反向path接口 ipvalidation外部的反向path接口 ipv6访问列表inside_access_ipv6_in许可tcp任何任何eq www ipv6访问列表inside_access_ipv6_in许可tcp任何任何eq https ipv6访问列表inside_access_ipv6_in许可tcp任何任何eq ssh ipv6访问列表inside_access_ipv6_in许可icmp6任何任何 icmp unreachable rate-limit 1 burst-size 1 icmp允许任何外面 没有asdm历史启用 ARP超时14400 全球(外部)1个界面 nat(内部)1 0.0.0.0 0.0.0.0 静态(内部,外部)tcp接口www dev.xxx.internal www netmask 255.255.255.255 静态(内部,外部)tcp接口ssh dev.xxx.internal sshnetworking掩码255.255.255.255 access-group inside_access_in在控制平面内的接口 接口里面的access-group inside_access_in_1 access-group inside_access_ipv6_in在界面里面 接口外部的access-group outside_access_in 外线路由0.0.0.0 0.0.0.0 192.168.3.254 10 外线路由192.168.3.252 255.255.255.255 192.168.3.252 1 超时xlate 3:00:00 超时连接1:00:00半封闭0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 超时sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 超时sip-provisional-media 0:02:00 uauth 0:05:00绝对 超时tcp-proxy-reassembly 0:01:00 超时浮动连接0:00:00 dynamic-access-policy-record DfltAccessPolicy aaa身份validationtelnet控制台LOCAL aaaauthentication启用控制台本地
你有任何访问列表允许stream量? 例如,出站ACL是什么样的? 你只通过命令行来设置它吗?
如果您有权访问ASDM,请运行数据包跟踪器向导以模拟您所需的stream量。