ASA INSIDE para dentro do tráfego sendo descartado

Navegue suas respostas
1

Um ASA 5505 está sendo usado para rotear entre duas redes, pois contém rotas para tudo. A seguir, a topologia da rede.

Eu tentei várias combinações de listas de acesso, como: 

access-list INSIDE_TO_INSIDE extended permit ip any any

ou 

access-list INSIDE_TO_INSIDE extended permit ip 192.168.0.0 255.255.0.0 192.168.0.0 255.255.0.0

Além de: 

 access-group INSIDE_TO_INSIDE in interface inside

Eu não consigo pingar ou conectar de um PC na rede .30 a um na rede .10.

Meus registros têm coisas como: 

    iscoasa# %ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK  on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK  on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK  on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK  on interface inside
%ASA-3-106014: Deny inbound icmp src inside:192.168.10.117 dst inside:192.168.30.11 (type 0, code 0)
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK  on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK  on interface inside
%ASA-3-106014: Deny inbound icmp src inside:192.168.10.117 dst inside:192.168.30.11 (type 0, code 0)
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/80 to 192.168.30.11/64338 flags RST ACK  on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/80 to 192.168.30.11/64339 flags RST ACK  on interface inside
%ASA-3-106014: Deny inbound icmp src inside:192.168.10.117 dst inside:192.168.30.11 (type 0, code 0)
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK  on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/80 to 192.168.30.11/64338 flags RST ACK  on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/80 to 192.168.30.11/64339 flags RST ACK  on interface inside
%ASA-3-106014: Deny inbound icmp src inside:192.168.10.117 dst inside:192.168.30.11 (type 0, code 0)
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/21 to 192.168.30.11/64340 flags RST ACK  on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/80 to 192.168.30.11/64338 flags RST ACK  on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/80 to 192.168.30.11/64339 flags RST ACK  on interface inside

Esta é uma configuração bonita do ASA. Também o rastreador de pacotes mostra o tráfego icmp ou tcp 22 como DROPPED pela regra implícita de 192.168.30.11 a 192.168.10.117. Qual é o problema?

    
por WCCPGuy9898 11.04.2016 / 14:26

1 resposta

1

O comando que você está procurando é same-security-traffic permit {inter-interface | intra-interface}

Por padrão, o tráfego que entra em uma interface não pode sair da mesma interface. O comando a seguir permitirá esse tráfego.
same-security-traffic permit intra-interface

Geralmente relacionado a esse comando está o comando same-security-traffic permit inter-interface . Por padrão, o ASA não permite o tráfego de um nível de segurança para sair de uma interface do mesmo nível de segurança. O comando same-security-traffic permit inter-interface permite esse tráfego.

Veja esta documentação da Cisco para mais detalhes. link

    
por 23.12.2016 / 16:14

Tags

utilitário de usar ALL em --tcp-flags na regra iptables Perguntas sobre imagens WDS e Boot / Install