форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"ASA5510 vs ICMP"

Сообщение от plohish (??) on 05-Май-08, 14:05

Добрый день! Не работает icmp lan -> asa -> internet. Глобально: icmp permit any echo outside icmp permit any traceroute outside icmp permit any echo inside icmp permit any traceroute inside icmp permit any echo dmz icmp permit any traceroute dmz inside: access-list 101 extended permit icmp 192.168.60.0 255.255.255.0 any echo access-list 101 extended permit icmp 192.168.60.0 255.255.255.0 any traceroute outside: access-list 102 extended permit icmp any any echo access-list 102 extended permit icmp any any traceroute При таких настройках не работает пинг ни с асы, ни из локалки. Если сделать inspect icmp - пинг работает, traceroute показывает только последний хоп. Если не сложно - объясните механизм работы ASA с icmp.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "ASA5510 vs ICMP"

Сообщение от ВОЛКА (ok) on 05-Май-08, 15:01

inspect icmp error

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "ASA5510 vs ICMP"
	Сообщение от plohish (??) on 05-Май-08, 15:19
	>inspect icmp error Сейчас на всех интерфейсах сделал access-list xxx extended permit icmp any any echo access-list xxx extended permit icmp any any traceroute access-list xxx extended permit icmp any any echo-reply И убил inspect icmp. Пинги ходят, трасса - нет..
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "ASA5510 vs ICMP"
	Сообщение от sbgray (??) on 05-Май-08, 17:42
	>[оверквотинг удален] > >Сейчас на всех интерфейсах сделал > >access-list xxx extended permit icmp any any echo >access-list xxx extended permit icmp any any traceroute >access-list xxx extended permit icmp any any echo-reply > >И убил inspect icmp. > >Пинги ходят, трасса - нет.. Добавь только на внешний интерфейс на вход access-list outside_access_in extended permit icmp any any echo-reply access-list outside_access_in extended permit icmp any any time-exceeded
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "ASA5510 vs ICMP"
	Сообщение от plohish (??) on 05-Май-08, 18:28
	>[оверквотинг удален] >>access-list xxx extended permit icmp any any echo-reply >> >>И убил inspect icmp. >> >>Пинги ходят, трасса - нет.. > >Добавь только на внешний интерфейс на вход > >access-list outside_access_in extended permit icmp any any echo-reply >access-list outside_access_in extended permit icmp any any time-exceeded Спасибо, помогло! На остальных интерфейсах оставил echo, echo-reply.. Странно, почему трасса без traceroute работает..
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "ASA5510 vs ICMP"
	Сообщение от sbgray (??) on 05-Май-08, 19:06
	>[оверквотинг удален] >>> >>>Пинги ходят, трасса - нет.. >> >>Добавь только на внешний интерфейс на вход >> >>access-list outside_access_in extended permit icmp any any echo-reply >>access-list outside_access_in extended permit icmp any any time-exceeded > >Спасибо, помогло! На остальных интерфейсах оставил echo, echo-reply.. Странно, почему трасса без >traceroute работает.. Даже не так, А вот так, оставь только access-list outside_access_in extended permit icmp any any time-exceeded и включи   inspect icmp   inspect icmp error что бы были пинги >Спасибо, помогло! На остальных интерфейсах оставил echo, echo-reply.. Странно, почему трасса без >traceroute работает.. прочитай как работает traceroute и прочитай типы сообщений ICMP и все станет ясно
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]