取消
显示结果 
搜索替代 
您的意思是: 
cancel
5437
查看次数
12
有帮助
2
回复

ASA5525 static pat 发布内网服务器不通(已解决)

leimin fan
Spotlight
Spotlight
本帖最后由 fanleimin 于 2014-7-7 11:32 编辑
请教一下, 我用asa5525做static pat 发布内网一台服务器的3389到outside接口地址的3389端口, 配置如下:
object network 3389
host 192.168.10.10
nat (inside,outside) static interface service tcp 3389 3389
然后在写了一个ACL放行3389端口
access-list out_in extended permit icmp any any
access-list out_in extended permit tcp any any eq 3389
access-group out_in in interface outside
配置完成后在公网上测试3389始终不通
然后使用packet-tracer 测试, 始终有条access-list 阻挡了flow, 我就只有这一条acl没有其他acl了呀, 怎么会有阻挡呢? 系统也没有全局的策略阻止,搞不清楚是什么原因, 麻烦帮我看一下是什么问题?
packet-tracer 结果如下:
ASA5525(config)# packet-tracer input outside tcp 222.213.5.X1 3445 x.x.x.x 3389
Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in x.x.x.x 255.255.255.255 identity
Phase: 2
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in id=0x7fff327e8200, priority=0, domain=nat-per-session, deny=false
hits=42748, user_data=0x0, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0 dscp=0x0
input_ifc=any, output_ifc=any
Phase: 3
Type: ACCESS-LIST
Subtype:
Result: DROP (在这里流量被drop, 但是我如何确定是被那条策略命中的呢?)
Config:
Implicit Rule
Additional Information:
Forward Flow based lookup yields rule:
in id=0x7fff332ffe70, priority=0, domain=permit, deny=true (这里的id=0x7fff332ffe70 指的是什么 ?)
hits=13578, user_data=0x9, cs_id=0x0, use_real_addr, flags=0x1000, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0 dscp=0x0
input_ifc=outside, output_ifc=any
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
ASA5525(config)#
最终的结果显示被acl-drop, 但是除过上面那条acl以外没有其他的ACL了啊, 不知道是被那条策略命中了? 求大神指导。
2 条回复2

leimin fan
Spotlight
Spotlight
这个问题已经找到原因了。
前面有条上网的pat被放在了nat section 1里面, 导致section 2里面的object static pat始终匹配不到,将上网的pat调整成object dynamic pat 放在section 后问题迎刃而解。
上网的pat条目如下
objecct network dynamic_nat
network 0.0.0.0 0.0.0.0
nat (inside,outside) source dynamic dynamic_nat interface
这样配置的上网nat被放在nat section 1里面,修改成这样就可以将其调整到section 2里面了
objecct network dynamic_nat
network 0.0.0.0 0.0.0.0
nat (inside,outside) source dynamic interface

cpmld-199
Community Member
学习了,谢谢分享。
快捷链接