Bạn đã thực hiện Nat hoặc No-Nat chưa? Từ inside truy cập DMZ thì no-nat ưa chuộng hơn.

bạn có thể cho mình biết rõ thêm về cấu hình của con asa dc không? vì muốn cho inside vào dmz bạn còn phải có NAT, dùng câu lệnh "global (dmz)".
Ví dụ:
global (dmz) 1 172.16.1.20-172.16.2.254 netmask 255.255.255.0
172.16.1.20-172.16.1.254: là pool of IP address for hosts on the public DMZ

minh chi moi thu thuc hien static nat nhu sau
static (inside,dmz) 192.168.5.100 192.168.1.5
nhung van chua duoc ,ban co the noi ro hon 1 ty ve no-nat cau hinh nhu the nao ko

cám ơn bạn nhé,để mình test lại thử xem sao

Minh đang cấu hinh con ASA gồm 3 network
inside:192.168.1.0/24
dmz:192.168.5.0/24
outside:192.168.10.0/24

Yêu cầu là:
mạng inside đi được http,dns,https,ftp (interface outside của ASA kết nối đến 1 router nữa để đi internet ,mình thực hiện PAT trên router này)
Từ outside có thể truy cập vào dịch vụ http và ftp tại 192.168.5.5 ở DMZ

Đây là cấu hình của mình



interface e0/0
nameif inside
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
interface e0/1
nameif dmz
security-level 50
ip address 192.168.5.1 255.255.255.0
no shutdown
exit
interface e0/2
nameif outside
ip address 192.168.10.2 255.255.255.0
no shutdown
exit
route outside 0.0.0.0 0.0.0.0 192.168.10.1

access-list outside_in extended permit tcp any host 192.168.5.5 eq 21
access-list outside_in extended permit tcp any host 192.168.5.5 eq 80

access-list inside_out extended permit tcp 192.168.1.0 255.255.255.0 any eq 80
access-list inside_out extended permit udp 192.168.1.0 255.255.255.0 any eq 53
access-list inside_out extended permit tcp 192.168.1.0 255.255.255.0 any eq 21
access-list inside_out extended permit tcp 192.168.1.0 255.255.255.0 any eq 443
access-list inside_out extended permit tcp 192.168.1.0 255.255.255.0 host 192.168.5.5 eq 21
access-list inside_out extended permit tcp 192.168.1.0 255.255.255.0 host 192.168.5.5 eq 80

access-list dmz_out extended deny ip any any

access-group inside_out in interface inside
access-group outside_in in interface outside
access-group dmz_out in interface dmz

Hiện tại inside và outside vẫn chưa sử dụng được FTP,HTTP tại 192.168.5.5 ở DMZ

Mọi người giúp mình với

! <--Cấu hình nonat cho truy cập từ inside-->dmz
!
access-list nonat extended permit tcp 192.168.1.0 255.255.255.0 host 192.168.5.5 eq 21
access-list nonat extended permit tcp 192.168.1.0 255.255.255.0 host 192.168.5.5 eq 80
nat (inside) 0 access-list nonat

!<--Cấu hình PAT cho truy cập inside-->outside
!
global (outside) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0
!

*) Còn static nên dùng để nat static cho bên ngoài truy cập vùng DMZ, ví dụ:
- Giả sử tại Router đã PAT tĩnh cho FTP va HTTP với host bên trong là 192.168.10.254
- Như vậy ta phải static trên ASA:
!
static (dmz,outside) 192.168.10.254 192.168.5.5 netmask 255.255.255.255

!
access-list outside_in extended permit tcp any host 192.168.10.254 eq 21
access-list outside_in extended permit tcp any host 192.168.10.254 eq 80
!
Một số góp ý

Cám ơn bạn rất nhiều ,mình đang thử lại

Mình dùng lệnh này thì thấy có thông báo lỗi sau
ERROR: access-list has protocol or port

Đó là do mình copy từ cấu hình của bạn và sửa lại:
bạn có thể cấu hình ACL lại như sau
!
access-list nonat permit ip 192.168.1.0 255.255.255.0 host 192.168.5.5
access-list nonat permit ip 192.168.1.0 255.255.255.0 host 192.168.5.5
!

chao ban

de nhung host nam trong mang inside truy cap vao mang dmz hoac outside thi ban chi can ket hop Nat va global command la du. con neu muon tu mang outside truy cap vao dmz hoac inside thi ban phai ket hop static va access control list.
chuc ban thanh cong !

Ban bi sai o access-list cua dmz, ban da deny ip any any