https://opennet.ru/openforum/vsluhforumID6/18839.html 1) Существует схема подключения по трехножной схеме.<br> Сети 192.168.1.0/24 inside<br> Сеть 10.1.1.0/24 DMZ1<br>2) ACL разрешают все из UNLIMITED-USERS(inside) -&gt; any и DMZ1-&gt; any :<br> access-list inside_access_in extended permit ip object-group UNLIMITED-USERS any <br> access-list DMZ1_access_in extended permit ip any any <br>3) NAT настроен по PAT:<br> global (DMZ1) 100 interface<br> global (DMZ2) 100 interface<br> global (DMZ3) 100 interface<br> global (outside) 100 interface<br><br>ПРОБЛЕМА: при обращении из inside в DMZ1 TCP/UDP соединения великолепно работают,<br>но PING не проходит - в логах выдает "Denied ICMP type=0, code=0 from WEB-DMZ1 on interface DMZ1"<br><br>При этом на интерфейсе outside подобная же ситуация прекрасно работает.<br> https://opennet.ru/openforum/vsluhforumID6/18839.html#6 Wed, 03 Jun 2009 09:04:00 GMT Нашел самостоятельно решение, правда похоже на bag в ASDM 6.1:<br>Решение:<br>policy-map global_policy<br> class inspection_default<br>...<br> inspect icmp <br><br>Описание БАГа:<br>При обращении из ASDM в global_policy присутствует строка, что ICMP инспектируется, но в самом тексте конфига этой троки я не нашел. Долго не мог понять, как в таком случае работал ICMP на outside интерфейсе - оказалось, что строка<br><br>object-group icmp-type DM_INLINE_ICMP_1<br> icmp-object echo-reply<br> icmp-object source-quench<br> icmp-object time-exceeded<br> icmp-object unreachable<br><br>access-list outside_access_in extended permit icmp any any object-group DM_INLINE_ICMP_1<br><br><br>СРАБАТЫВАЛА как ВХОДЯЩЕЕ соединение.<br><br><br> https://opennet.ru/openforum/vsluhforumID6/18839.html#5 Thu, 21 May 2009 13:13:51 GMT Так как решения не нашел ТЕМЕ UP<br> https://opennet.ru/openforum/vsluhforumID6/18839.html#4 Wed, 13 May 2009 11:56:09 GMT &gt;static (DMZ1,inside) <br><br>В командах ASA это выглядит так:<br>static (DMZ1,inside) 10.1.1.0 10.1.1.0 netmask 255.255.255.0 <br>+ еще нужно<br>static (inside,DMZ1) 192.168.1.0 192.168.1.0 netmask 255.255.255.0 <br><br>В принципе рабочее решение, но я хотел разобраться почему через PAT не работает (ведь в Internet на внешнем интерфейсе же не выпускаются 10-е и 192 сети).<br><br>PS: Кроме того второй сервер (ISA server) c "двумя ногами" перестает доступен быть через ASA(на внешний интерфейс) - Только изнутри, т.к. у него есть прямой маршрут к сети 192.168.1.0 (и внешний интерфейс был доступен только через PAT)<br><br> https://opennet.ru/openforum/vsluhforumID6/18839.html#3 Wed, 13 May 2009 08:52:49 GMT &gt;&gt;icmp permit any ifname <br>&gt;<br>&gt;icmp permit any DMZ1 СТОИТ и сам интерфейс из сети DMZ1 прекарасно <br>&gt;пингуется. <br><br>global (DMZ2) 100 interface<br>&gt; global (DMZ3) 100 interface <br><br>static (DMZ1,inside)<br> https://opennet.ru/openforum/vsluhforumID6/18839.html#2 Wed, 13 May 2009 08:09:00 GMT &gt;icmp permit any ifname <br><br>icmp permit any DMZ1 СТОИТ и сам интерфейс из сети DMZ1 прекарасно пингуется.<br><br><br> https://opennet.ru/openforum/vsluhforumID6/18839.html#1 Wed, 13 May 2009 08:06:14 GMT &gt;[оверквотинг удален]<br>&gt; global (DMZ1) 100 interface <br>&gt; global (DMZ2) 100 interface <br>&gt; global (DMZ3) 100 interface <br>&gt; global (outside) 100 interface <br>&gt;<br>&gt;ПРОБЛЕМА: при обращении из inside в DMZ1 TCP/UDP соединения великолепно работают, <br>&gt;но PING не проходит - в логах выдает "Denied ICMP type=0, code=0 <br>&gt;from WEB-DMZ1 on interface DMZ1" <br>&gt;<br>&gt;При этом на интерфейсе outside подобная же ситуация прекрасно работает. <br><br>icmp permit any ifname<br>