hegl 10 Geschrieben 4. Oktober 2007 Melden Geschrieben 4. Oktober 2007 Ich sehe irgendwie den Wald vor lauter Bäume nicht mehr. Hier ein Auszug aus meiner config einer ASA Vers.7.2.2: name 111.111.111.111 BBB object-group network TEST network-object host AAA network-object host ABC network-object host BCD group-object blabla access-list nat_outbound extended permit ip object-group TEST any access-list out1 extended permit tcp host ABC host CBA eq ftp access-list out1 extended permit tcp host BCD host DCB eq ssh access-list in1 extended permit tcp host AAA host BBB eq 80 global (outside) 10 interface nat (inside) 10 access-list nat_outbound access-group out1 out interface outside access-group in1 in interface inside Beim Versuch einer http-Verbindung von AAA zu BBB erhalte ich folgenden error: %ASA-7-609001: Built local-host outside:111.111.111.111 %ASA-6-305011: Built dynamic TCP translation from inside:AAA/22412 to outside(nat_outbound):222.222.222.222/1024 %ASA-4-106023: Deny tcp src inside:AAA/22412 dst outside:111.111.111.111/80 by access-group "out1" [0x0, 0x0] Wieso wird hier die access-group out1 agezogen??? P.S. 222.222.222.222 ist die outside IP des interface
mturba 10 Geschrieben 4. Oktober 2007 Melden Geschrieben 4. Oktober 2007 Weil die Accessliste out1 outbound ans outside-Interface gebunden wurde. Somit wird der Verkehr gefiltert, der das outside-Interface verlassen will. Ich vermute, dass du diese Liste eher inbound verwenden wolltest - oder? access-group out1 in interface outside Gruß, Martin
hegl 10 Geschrieben 4. Oktober 2007 Autor Melden Geschrieben 4. Oktober 2007 Es sollte doch egal sein, an welches interface ich den traffic von inside nach outside binde. Ob ich nun die Regel access-group out1 out interface outside oder access-group out1 in interace inside definiere, sollte doch gleich sein. Oder sehe ich das falsch? Selbst wenn ich die ACL für den host AAA ans outside binde, erhalte ich o.g. error!
hegl 10 Geschrieben 4. Oktober 2007 Autor Melden Geschrieben 4. Oktober 2007 Fehler gefunden: ich muss für die NAT-Adresse die ACL fürs outside interface konfigurieren access-list out1 extended permit tcp host 222.222.222.222 host BBB eq 80
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden