本帖最后由 fanleimin 于 2014-7-7 11:32 编辑
请教一下， 我用asa5525做static pat 发布内网一台服务器的3389到outside接口地址的3389端口， 配置如下：
object network 3389
host 192.168.10.10
nat (inside,outside) static interface service tcp 3389 3389
然后在写了一个ACL放行3389端口
access-list out_in extended permit icmp any any
access-list out_in extended permit tcp any any eq 3389
access-group out_in in interface outside
配置完成后在公网上测试3389始终不通
然后使用packet-tracer 测试， 始终有条access-list 阻挡了flow， 我就只有这一条acl没有其他acl了呀， 怎么会有阻挡呢？ 系统也没有全局的策略阻止，搞不清楚是什么原因， 麻烦帮我看一下是什么问题？
packet-tracer 结果如下：
ASA5525(config)# packet-tracer input outside tcp 222.213.5.X1 3445 x.x.x.x 3389
Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in x.x.x.x 255.255.255.255 identity
Phase: 2
Type: NAT
Subtype: per-session
Result: ALLOW
Config:
Additional Information:
Forward Flow based lookup yields rule:
in id=0x7fff327e8200, priority=0, domain=nat-per-session, deny=false
hits=42748, user_data=0x0, cs_id=0x0, reverse, use_real_addr, flags=0x0, protocol=6
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0 dscp=0x0
input_ifc=any, output_ifc=any
Phase: 3
Type: ACCESS-LIST
Subtype:
Result: DROP (在这里流量被drop， 但是我如何确定是被那条策略命中的呢？)
Config:
Implicit Rule
Additional Information:
Forward Flow based lookup yields rule:
in id=0x7fff332ffe70, priority=0, domain=permit, deny=true （这里的id=0x7fff332ffe70 指的是什么 ？）
hits=13578, user_data=0x9, cs_id=0x0, use_real_addr, flags=0x1000, protocol=0
src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0 dscp=0x0
input_ifc=outside, output_ifc=any
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
ASA5525(config)#
最终的结果显示被acl-drop， 但是除过上面那条acl以外没有其他的ACL了啊， 不知道是被那条策略命中了？ 求大神指导。