Acho que o nível de segurança deve ser considerado. Você pode fazer ping de dentro para fora, mas o tráfego de eco deve poder voltar para o interior.
A rede é a seguinte:
Dois Gateways Padrão existem na rede - um que fornece conectividade a um MPLS com várias sub-redes. Digamos que 10.0.0.2
Outro que é um Cisco Firewall, no 10.0.0.1, com uma conexão WAN. Existe um servidor na LAN com seu DG como o Cisco Firewall acima. No firewall há uma rota que informa que qualquer coisa destinada a uma das sub-redes MPLS (192.168.99.0/24) vai para o roteador MPLS (em seu IP de LAN).
Na interface INSIDE, existe qualquer regra de permissão Any, Any, IP (todo o tráfego).
No entanto, eu não consigo pingar nada no MPLS e os logs no Cisco mostram o "Implicit" Any, Any Deny está soltando o tráfego de ping. É o mesmo para tudo - HTTPs, HTTP, etc.
O que está faltando?
Acho que o nível de segurança deve ser considerado. Você pode fazer ping de dentro para fora, mas o tráfego de eco deve poder voltar para o interior.
Supondo que você tenha verificado o básico, como garantir que a lista de acesso esteja realmente vinculada à interface com o comando access-group, se os logs mostrarem que o tráfego está sendo negado, você poderá descobrir mais informações simulando um pacote com o comando packet-tracer. Isso deve lhe dizer exatamente porque o pacote está sendo rejeitado.
Assumindo que seu servidor interno é 10.0.0.10 e um host na rede MPLS é 192.168.99.10, e sua interface interna é chamada interna, o comando seria:
packet-tracer input inside icmp 10.0.0.10 8 0 192.168.99.10 detailed
Eu suponho que você precisa de regras para o tráfego ICMP (não IP) para permitir ping.
Em primeiro lugar, sua pergunta pode ser duplicada para esta: Como você permite solicitações de eco ICMP em um roteador Cisco ASA 55xx?
No entanto, eu uso um pouco outra configuração para permitir o ping. A partir da sua pergunta, não tenho certeza de qual interface você precisa permitir. Por isso, basta postar minha configuração como exemplo, corrija-a de acordo com sua configuração:
access-list allow_ping_outside extended permit icmp any interface outside
access-list outside_access_in extended permit icmp any interface outside
access-list allow_ping extended permit icmp any any
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
icmp permit any outside
icmp permit any unreachable outside
icmp permit any echo outside
icmp permit any echo-reply outside
icmp permit any time-exceeded outside
Documentação (apenas no google para sua versão do ASA, por exemplo, 8.2 ou 8.4, há muita documentação oficial disponível):
EDIT: sobre outro tráfego, é muito difícil de adivinhar e eu esperava que você pudesse fornecer mais detalhes em sua pergunta. Eu suponho que você tenha 2 interfaces LAN ativas (com o mesmo nível de segurança) e 1 WAN. Então, para permitir a comunicação de hosts em diferentes LANs (com o mesmo nível de segundo), você precisa permitir explicitamente:
same-security-traffic permit inter-interface
Veja também: link
Se você realmente usa 3 interfaces, considere também as limitações de sua licença (veja o número de VLANs):
Você pode usar o comando 'deny all log' na ACL para ver os resultados em tempo real da regra 'implícita' negar todas e ir a partir daí. Foi chamado o 'explícito' negar todas as regras .. googling
edit: parece que você já fez isso.
Tags networking firewall cisco routing nat