已解决: 经过asa5500就不能打开http://www.shchls.com:2000 页面

siumem · ‎12-12-2017

客户的主机在ASA5520后面，不能打开页面 http://www.shchls.com:2000，然后我在公司自己的ASA5505后也不能访问，不加端口号可以打开页面，直接用手机也可以访问。谁能告诉我如何排查？

jingjian · ‎12-13-2017

本帖最后由 arvinjing 于 2017-12-13 16:12 编辑

siumem 发表于 2017-12-13 11:03
服务器是外部的，是一个政府公务网站，关于危险品登记的入口。和安全策略和NAT策略应该没有关系，我试了几 ...

TCP port 2000这个端口，在ASA防火墙被识别成skinny应用，当客户端发出的http get包时被防火墙丢弃了，所以会造成不可访问的情况。
解决方法：
1.通过show run 我们看到default policy中有skinny应用，我们删掉这个就OK了
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
2. 配置命令
policy-map global_policy
class inspection_default
no inspect skinny

在原帖中查看解决方案

jingjian · ‎12-12-2017

siumem 发表于 2017-12-13 16:15
初步怀疑是因为CISCO的skinny协议占用了2000端口，请问如何才能关闭skinny默认占用的2000端口？

你的判断是正确的
解决方法：
1.通过show run 我们看到default policy中有skinny应用，我们删掉这个就OK了
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
2. 配置命令
policy-map global_policy
class inspection_default
no inspect skinny

在原帖中查看解决方案

jingjian · ‎12-12-2017

siumem 发表于 2017-12-13 16:15
初步怀疑是因为CISCO的skinny协议占用了2000端口，请问如何才能关闭skinny默认占用的2000端口？

你的判断是正确的
解决方法：
1.通过show run 我们看到default policy中有skinny应用，我们删掉这个就OK了
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
2. 配置命令
policy-map global_policy
class inspection_default
no inspect skinny

siumem · ‎12-12-2017

我做了一个测试，不经过防火墙直接可以访问。明显被防火墙挡住了。

fortune · ‎12-12-2017

这个服务器是不是在你们自己内部？如果是的话，需要做twice NAT ，如果是外网的服务器，那么ASA 默认inside to outside 是没有策略的，除非你自己配置了策略，需要查查

YilinChen · ‎12-12-2017

packet-input 验证一下；另一个方向，就是有WEB内容过滤了:P

gcq · ‎12-12-2017

可以确定是防火墙的安全策略和NAT策略这2方面导致的。

siumem · ‎12-12-2017

服务器是外部的，是一个政府公务网站，关于危险品登记的入口。和安全策略和NAT策略应该没有关系，我试了几个有CISCO ASA防火墙的内网，都打不开这个页面。我估计是这个网站做得有问题，交付时的某个行为触发了ASA的安全策略，所以被禁了。
现在问题是我应该怎么找到触发了哪一条安全策略并关闭它。

jingjian · ‎12-13-2017

本帖最后由 arvinjing 于 2017-12-13 16:12 编辑

siumem 发表于 2017-12-13 11:03
服务器是外部的，是一个政府公务网站，关于危险品登记的入口。和安全策略和NAT策略应该没有关系，我试了几 ...

TCP port 2000这个端口，在ASA防火墙被识别成skinny应用，当客户端发出的http get包时被防火墙丢弃了，所以会造成不可访问的情况。
解决方法：
1.通过show run 我们看到default policy中有skinny应用，我们删掉这个就OK了
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
2. 配置命令
policy-map global_policy
class inspection_default
no inspect skinny

siumem · ‎12-13-2017

初步怀疑是因为CISCO的skinny协议占用了2000端口，请问如何才能关闭skinny默认占用的2000端口？

siumem · ‎12-13-2017

已经解决了，谢谢大家。
no inspect skinny

siumem · ‎12-14-2017

arvinjing 发表于 2017-12-13 16:11
TCP port 2000这个端口，在ASA防火墙被识别成skinny应用，当客户端发出的http get包时被防火墙丢弃了，所 ...

为什么我今天才看到你的答复？是不是你们的回复也要审核？

fortune · ‎12-14-2017

arvinjing 发表于 2017-12-12 18:14
你的判断是正确的
解决方法：
1.通过show run 我们看到default policy中有skinny应用，我们删掉这个就O ...

厉害了，能否分析下这是什么原因呢？正常配置这个应该是不影响的吧？谢谢