ASA Firewall Can PING 无法通过 SSH 切换到不同的接口

网络工程 思科-ASA 防火墙 访问控制
2022-02-27 12:55:27

共有三个接口,TRUST(安全级别 100)、UNTRUST(安全级别 0)和 DMZ(安全级别 50)。

我在通过 UNTRUST 接口进入防火墙的网络上。我能够将 ICMP 与 SSH 一起使用但不能与 SSH 一起使用(超时)的交换机是通过 DMZ 接口连接的。共有三个规则,每个规则都包含相同的服务组(包括 icmp、tcp/ssh、udp/tftp、tcp/telnet、udp/syslog)。这些规则的应用如下:

DMZ Interface (incoming)
    DMZ_network any IP permit

TRUST Interface (incoming)
    DMZ_switch my_laptop service_group permit

UNTRUST Interface (incoming)
    my_laptop DMZ_switch service_group permit

所以我能够进行 ICMP,并且我看到已应用的规则有所增加,但我收到了 SSH 连接尝试的连接超时。我已经花了太多时间在众所周知的墙上撞到我的头,以至于没有在这里寻求帮助。我感谢任何花时间阅读或回答这个问题的人。

问候, lzer

2个回答

考虑到您的规则集是正确的...您是否在交换机端进行了检查?您的 vty 上可能配置了访问类。

ps 您可能想在 ASA 上使用数据包跟踪器来检查是否允许流量,或者只是通过 CLI/ASDM 检查日志缓冲区以查看实际情况。

如果您需要任何帮助,请告诉我。

我相信您应该在 DMZ 接口的 OUT 方向上有一个 ACL。

流量将进入您拥有 ACL 的不受信任的接口 - 很好 然后流量将退出(出)交换机管理所在的 DMZ 接口。

因此,为什么您需要允许“laptop_ip dmz_switch any_service_you_want”

您无需担心“返回”流量,因为 ASA 将保持状态

让我知道我上面写的内容是否清楚

问候拉维

其它你可能感兴趣的问题
上一篇是否需要智能交换机来创建 VLAN,或者路由器可以做到吗? 下一篇将 eBGP 分发到 OSPF