场景:主机 A(防火墙的受信任端)需要与端口 443(不受信任端)上的 Web 服务器通信 Cisco ASA 上存在受信任规则 - 允许 Host_A Web_SVR 端口 443
受信任的规则应该允许主机 A 在端口 443 上与 Web 服务器通信,并且还允许该会话的返回流量通过防火墙,因为会话是由受信任的源发起的。
我到处都读到 ASA 状态已满,不需要返回流量规则。
问题是在我的特定情况下,ASA 拒绝返回流量,因为源/目标 ip 和协议被反转。
问题是默认设置中存在哪些使 Cisco ASA 以有状态方式运行的配置?
历史信息:有状态的方式以前是有效的。我们在几个月前的同一时间进行了操作系统升级并收到了新的基线配置。这是问题开始的时候。我认为这可能是新 IOS 中的一个错误,或者一个必要的配置被忽略或没有与新 IOS 一起使用。
我比较了旧配置和新配置,并且在加载新配置之前更新了一些对象/服务类型语法更改。加载新配置时,我没有注意到任何失败的命令。
如果您对我应该尝试寻找什么有任何建议,我将不胜感激。
谢谢J
你能发布一些配置吗?
您可以执行数据包跟踪以查看它如何通过 ASA:
ASA# packet-tracer input <trust-interface-name> tcp <src-addr> <src port> <dst ip> https
需要注意的一点是源端口可能无关紧要,因此只需使用 1234
这应该让您逐步了解数据包正在执行的操作以及它被阻止的位置。
问题已解决。
问题是我们升级了 ASA 操作系统版本,升级还需要内存升级,并且内存使用率固定为 100%。内存升级现已完成,ASA 的状态性质已恢复正常。
感谢大家的支持。
可能是 ASA 上的双边路由。如果您在 ASA 上通过多个接口在源/目标之间有冗余路径,并且数据包通过一个接口离开,并且响应返回到不同的接口,则它不在状态表中,ASA 将丢弃它。由于带外管理网络导致路由复杂性,我遇到了很多这样的问题,我们最终不得不使用 PBR 修复它。
ASA 上的 ACL 的默认状态是有状态的,但有可能例外,我不记得如何做到这一点,我会环顾四周,看看是否能找到它。