Announcement

**nguyenquocle** · 01-08-2009, 09:53 AM

bạn cần cấu hình thêm access-list trên outside nữa:

access-list allowed permit icmp any 11.0.0.0 255.255.255.0
access-list allowed permit icmp any 203.1.1.3
access-group allowed in interface outside

Khi traffic từ PC của bạn ở outside mà muốn đến server dmz thì phải truy cập hoặc là ping đến địa chỉ là 203.1.1.3 vì địa chỉ 12.0.0.2 đã bị STATIC NAT thành 203.1.1.3

**hero4uth** · 02-08-2009, 10:35 AM

cám ơn anh đã giúp đỡ nhưng vẫn đề vẫn chưa đc giải quyết:
+ host inside ko ping đc ra outside ( đã có nat và global)

+ host outside ko ping đc host trong dmz (đã có static và access-list đã thêm phần lệnh của anh bên trên)
dậy em phải làm sao đây

**quangvn1986** · 02-08-2009, 06:08 PM

Bạn thử làm thế này xem:
1-Cho phép host inside ping được host outside dùng ACLOUT như sau
access-list ACLOUT permit icmp any 203.1.1.0 255.255.255.0 gán vào cổng outside chiều in
2-Host inside truy cập vào dmz không nat dung câu lệnh sau
Access-list DMZ permit ip 11.0.0.0 255.0.0.0 12.0.0.0 255.0.0.0
Access-list DMZ permit icmp 12.0.0.0 255.0.0.0 11.0.0.0 255.0.0.0
Nat (inside) 0 access-list DMZ !NAT_ID = 0 là không NAT
gán access-list DMZ vào cổng DMZ chiều in

**mystery1983** · 03-08-2009, 12:26 PM

Không biết về Object Groups.Admin có thể chỉ rõ thêm các Object group trong Pix ?

Thanks

**nguyenquocle** · 03-08-2009, 03:57 PM

1/ câu lệnh STATIC NAT "static (dmz,outsite) 203.1.1.3 12.0.0.2" bạn sửa lại nhu thế này: "static (dmz,outsite) 203.1.1.3 12.0.0.2 netmask 255.255.255.255

2/ cấu hình inside--> dmz mà NO NAT thì bạn sử dụng câu lệnh này:
static (inside,dmz) 12.0.0.0 11.0.0.0 netmask 255.0.0.0

3/ bạn có bật câu lệnh NAT-CONTROL hay không?

Nếu có quá nhiều câu hỏi về vấn dề này hoặc bạn chưa hiểu câu lệnh nào vì dây liên quan dến an toàn hệ thống, nếu bạn cấu hình mà không hiểu thì sẽ sinh lỗ hổng cho hệ thống. bạn có thể trực tiếp mail hoặc chat truc tiếp qua hệ thống live chat : www.vnpro.vn/support hoặc là qua SKYPE: quocle_nguyen, YAHOO: goodbyeseeyouagain@yahoo.com

**nguyenquocle** · 03-08-2009, 04:00 PM

Originally posted by mystery1983 View Post

Không biết về Object Groups.Admin có thể chỉ rõ thêm các Object group trong Pix ?

Thanks

Object group là chức năng được giới thiệu trong PIX 6.2. Object grouping cho phép mình nhóm nhiều địa chỉ các hosts và networks, giao thức , cổng, và các dạng Internet Control Message Protocol (ICMP) thành từng nhóm. Khi đã cấu hình, một object group có thể được sử dụng với câu lệnh access-list trong PIX/ASA. Chức năng này giúp giảm số lượng câu lệnh access-list được cấu hình.

Attached Files

pix_asa_obj_grp.pdf (11.0 KB, 58 views)

**thanhnam0707** · 07-08-2009, 05:45 PM

Bạn giải quyết vấn để từ từ:bạn thử làm ra internet trước nhé,

nat (inside) 1 11.0.0.0 255.0.0.0
global (outside) 1 interface

access-list Outside_Access extended permit icmp any any
access-group Outside_Access in interface outside

thêm cái default-route từ con ASA ra Router nữa,
route Outside 0.0.0.0 0.0.0.0 ip_next-hop

như vậy là ra internet được,

Announcement

giúp đỡ về pix ,mình mới học pix/asa thôi

giúp đỡ về pix ,mình mới học pix/asa thôi

Comment

Comment

Comment

Comment

Comment

Comment

Comment