文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >从内部到内部的流量被丢弃

从内部到内部的流量被丢弃
EN

Server Fault用户
提问于 2016-04-11 12:26:09
回答 1查看 3.4K关注 0票数 1

ASA 5505被用来在两个网络之间进行路由,因为它包含到任何东西的路由。下面描述网络拓扑结构。

我尝试过各种访问列表组合,例如:

代码语言:javascript
复制
access-list INSIDE_TO_INSIDE extended permit ip any any

代码语言:javascript
复制
access-list INSIDE_TO_INSIDE extended permit ip 192.168.0.0 255.255.0.0 192.168.0.0 255.255.0.0

以及:

代码语言:javascript
复制
 access-group INSIDE_TO_INSIDE in interface inside

我不能从.30网络的PC机连接到.10网络上的PC机。

我的日志里有这样的东西:

代码语言:javascript
复制
    iscoasa# %ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK  on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK  on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK  on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK  on interface inside
%ASA-3-106014: Deny inbound icmp src inside:192.168.10.117 dst inside:192.168.30.11 (type 0, code 0)
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK  on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK  on interface inside
%ASA-3-106014: Deny inbound icmp src inside:192.168.10.117 dst inside:192.168.30.11 (type 0, code 0)
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/80 to 192.168.30.11/64338 flags RST ACK  on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/80 to 192.168.30.11/64339 flags RST ACK  on interface inside
%ASA-3-106014: Deny inbound icmp src inside:192.168.10.117 dst inside:192.168.30.11 (type 0, code 0)
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/22 to 192.168.30.11/64337 flags SYN ACK  on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/80 to 192.168.30.11/64338 flags RST ACK  on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/80 to 192.168.30.11/64339 flags RST ACK  on interface inside
%ASA-3-106014: Deny inbound icmp src inside:192.168.10.117 dst inside:192.168.30.11 (type 0, code 0)
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/21 to 192.168.30.11/64340 flags RST ACK  on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/80 to 192.168.30.11/64338 flags RST ACK  on interface inside
%ASA-2-106001: Inbound TCP connection denied from 192.168.10.117/80 to 192.168.30.11/64339 flags RST ACK  on interface inside

这是一个漂亮的股票ASA配置。此外,数据包跟踪器显示icmp或tcp 22通信量,这是从192.168.30.11到192.168.10.117之间的隐式规则丢弃的。怎么回事?

networking
firewall
cisco
cisco-asa
EN

回答 1

Server Fault用户

发布于 2016-12-23 15:14:37

您要查找的命令是same-security-traffic permit {inter-interface | intra-interface}

默认情况下,输入一个接口的通信量不能退出同一个接口。下面的命令将允许此通信量。

same-security-traffic permit intra-interface

通常与此命令相关的是same-security-traffic permit inter-interface命令。默认情况下,ASA不允许来自一个安全级别的通信退出同一安全级别的接口。same-security-traffic permit inter-interface命令允许这种通信量。

有关详细信息,请参阅本Cisco文档。

https://www.cisco.com/c/en/us/td/docs/security/asa/asa81/command/ref/refgd/s1.html

票数 1
EN
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://serverfault.com/questions/769470

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档