内部用户无法访问 DMZ,也无法从我的 cisco ASA 5520 v.7 访问外部

内部用户无法访问 DMZ,也无法从我的 cisco ASA 5520 v.7 访问外部

我正在配置我的 Cisco ASA 5520 版本 7,以下是show run该机器的:

ASA2>
ASA2> en
Password:
ASA2# sh run
: Saved
: ASA Version 7.0(8)
! hostname xxxxxxxxxx
domain-name parlamento.ao
enable password xxxxxxxxxx encrypted
passwd xxxxxxxxxxx encrypted
names
dns-guard
! interface GigabitEthernet0/0
description "Link-To-GW-Router"
nameif outside
security-level 0
ip address 41.223.156.109 255.255.255.248
! interface GigabitEthernet0/1
description Link To Local Lan
nameif inside
security-level 100
ip address 10.1.4.1 255.255.252.0
! interface GigabitEthernet0/2
description "Link-T
nameif dmz
security-level 50
ip address 172.16.16.1 255.255.255.0
! interface GigabitEthernet0/3
shutdown
no nameif
no security-level
no ip address
! interface Management0/0
shutdown
no nameif
no security-level
no ip address
! ftp mode passive
access-list OUTSIDE-IN extended permit tcp any host 100.1.1.1 eq smtp 

access-list OUTSIDE-IN extended permit tcp any host 100.1.1.2 eq www

access-list DMZ-IN extended deny ip any any log

access-list DMZ_IN extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
no failover
asdm image disk0:/asdm-508.bin
no asdm history enable
arp timeout 14400
global (outside) 1 100.1.1.2-100.1.1.254 netmask 255.255.255.0

nat (inside) 1 10.1.4.0 255.255.252.0
static (dmz,outside) 100.1.1.1 172.16.16.25 netmask 255.255.255.255

static (dmz,outside) 100.1.1.2 172.16.16.80 netmask 255.255.255.255

access-group OUTSIDE-IN in interface outside
access-group DMZ-IN in interface dmz
route outside 0.0.0.0 0.0.0.0 41.223.156.108 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
username tchipa password JUU.kVt2Und.Vd23 encrypted privilege 15
http server enable
http 10.1.4.0 255.255.252.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
! class-map inspection_default
match default-inspection-traffic
! ! policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect icmp inspect snmp ! service-policy global_policy global Cryptochecksum:449d5f1c3c31ec4623e58887720e339b : end

问题是;

目前,我无法从内部网络访问或 ping DMZ。我指的是 .1 或 .25 或 .80,一旦机器运行,我甚至无法从内部网络访问互联网,也无法从外部访问。我无法访问我的 DMZ。但从 ASA,我可以 ping 内部网络 (10.1.4.1) 上的 PC 10.1.4.2 和 DMZ (172.16.16.1) 上的 PC 172.6.16.25

我想要的是:

  1. 允许我的内部电脑访问互联网。

  2. 允许外部流量或互联网用户访问我的 DMZ;特别是我的电子邮件服务器 172.16.16.25 和 Web 服务器 172.16.16.80

  3. 我的 Web 和电子邮件服务器采用静态 NAT

  4. 允许内部用户访问我的 DMZ,特别是我的电子邮件服务器 172.16.16.25 和 Web 服务器 172.16.16.80

这基本上就是我让机器运转所需要的。

谁能给我一个直接的输入或命令来帮助我解决这个问题。

我再次提前感谢您...并希望我的 ASAsh run这次看起来更加清晰。

答案1

首先,正如 GregD 所建议的,你应该从升级到当前软件开始。这里有一个指南这里

您的命令已渗入配置打印输出中,这使其非常难以阅读。您能否sh run再次运行,并确保在配置仍在输出时其他命令不会运行?使用新配置编辑您的问题(在每行前面放置 4 个空格,就像 TiZon 对您当前配置所做的那样)。

packet-tracer命令可以帮助你找到解决数据包流问题的一个好方法。当你运行我上一个问题中的示例时,你会得到什么输出(packet-tracer input inside tcp 10.1.4.2 1024 2.2.2.2 www)?

相关内容