hegl 10 Geschrieben 4. Oktober 2007 Melden Teilen Geschrieben 4. Oktober 2007 Ich sehe irgendwie den Wald vor lauter Bäume nicht mehr. Hier ein Auszug aus meiner config einer ASA Vers.7.2.2: name 111.111.111.111 BBB object-group network TEST network-object host AAA network-object host ABC network-object host BCD group-object blabla access-list nat_outbound extended permit ip object-group TEST any access-list out1 extended permit tcp host ABC host CBA eq ftp access-list out1 extended permit tcp host BCD host DCB eq ssh access-list in1 extended permit tcp host AAA host BBB eq 80 global (outside) 10 interface nat (inside) 10 access-list nat_outbound access-group out1 out interface outside access-group in1 in interface inside Beim Versuch einer http-Verbindung von AAA zu BBB erhalte ich folgenden error: %ASA-7-609001: Built local-host outside:111.111.111.111 %ASA-6-305011: Built dynamic TCP translation from inside:AAA/22412 to outside(nat_outbound):222.222.222.222/1024 %ASA-4-106023: Deny tcp src inside:AAA/22412 dst outside:111.111.111.111/80 by access-group "out1" [0x0, 0x0] Wieso wird hier die access-group out1 agezogen??? P.S. 222.222.222.222 ist die outside IP des interface Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 4. Oktober 2007 Melden Teilen Geschrieben 4. Oktober 2007 Weil die Accessliste out1 outbound ans outside-Interface gebunden wurde. Somit wird der Verkehr gefiltert, der das outside-Interface verlassen will. Ich vermute, dass du diese Liste eher inbound verwenden wolltest - oder? access-group out1 in interface outside Gruß, Martin Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 4. Oktober 2007 Autor Melden Teilen Geschrieben 4. Oktober 2007 Es sollte doch egal sein, an welches interface ich den traffic von inside nach outside binde. Ob ich nun die Regel access-group out1 out interface outside oder access-group out1 in interace inside definiere, sollte doch gleich sein. Oder sehe ich das falsch? Selbst wenn ich die ACL für den host AAA ans outside binde, erhalte ich o.g. error! Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 4. Oktober 2007 Autor Melden Teilen Geschrieben 4. Oktober 2007 Fehler gefunden: ich muss für die NAT-Adresse die ACL fürs outside interface konfigurieren access-list out1 extended permit tcp host 222.222.222.222 host BBB eq 80 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.