• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

thực hiện ping từ vùng outside vào dmz ?

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    thực hiện ping từ vùng outside vào dmz ?

    mình có 1 máy vùng dmz :10.1.1.2 mình cấu hình như sau :
    static (dmz,outside) 100.100.100.1 10.1.1.2 netmask 255.255.255.255
    access-list outside-in extended permit icmp any host 100.100.100.1
    access-list outside-in extended permit ip any host 100.100.100.1
    access-list outside-in extended permit tcp any host 100.100.100.1
    access-group outside-in in interface outside

    và mình đã thưc hiện định tuyến đầy đủ.nhưng vẫn không ping từ router bên ngoài vào vùng dmz (mình dùng phần mềm gns3) mong các bạn chỉ giúp mình.
    Tags: None
  • #2
    access-list outside-in extended permit icmp any host 10.1.1.2 echo

    Comment

    • #3
      mình ping từ ben ngoài vao vẫn không được. và cái echo là gì vậy ? ban co the lien lac voi minh vao yahoo :nguyenvanquyetdt6
      thank you !
      Attached Files
      Last edited by nguyenvanquyetdt6; 10-04-2012, 02:01 AM.

      Comment

      • #4
        từ outside bạn đã ping được đến 172.16.2.1 chưa? và địa chỉ 100.100.100.1 đã được know bởi R1 và outside chưa?

        Comment

        • #5
          2 router thực hiện định tuyến động.còn ASA sử dụng định tuyến tĩnh : route outside 0 0 172.16.2.2
          từ ASA có thể ping đên các router.nhưng không thể ping được đến clouse (10.10.10.2).cloud đã cấu hình gateway (10.10.10.1) và ping được đến 10.10.10.1 của router R1 nhưng không thể ping được đến 172.16.2.1 mình cũng không hiểu vấn đề này ?
          ASA mình ping đến dmz thì ok ! nhưng khi ping đến địa chỉ NAT 100.100.100.1 thì không được.nó có mấy dấu ???? có lẽ là asa chưa biết địa chỉ nay.nhưng mình đã thực hiện NAT rồi mà.xem cấu hình thì cũng đã có chuyển dịch nat:global 100.100.100.1 local 10.1.1.2
          Last edited by nguyenvanquyetdt6; 10-04-2012, 09:08 AM.

          Comment

          • #6
            bây h bạn làm thế này.. trên R2 default route về 10.1.1.1, trên asa default route về 172.16.2.2. sau đó thực hiện kiểm tra từ cloud ping đến 172.16.2.1 và ping từ asa ra cloud xem có được ko? nếu ok thì mới tiền hành cấu hình NAT
            //sau khi cấu hình NAT thì từ ASA ko thể ping được đến 100.100.100.1 đâu bạn.... lúc này trên R1 bạn phải static route 100.100.100.0/24 qua gate 172.16.2.1 và phải đặt access-list trên interface outside thì từ cloud mới ping được vào DMZ
            Last edited by dante04; 10-04-2012, 10:42 AM.

            Comment

            • #7
              của bạn đây:
              R1
              Code:
              !
interface FastEthernet0/0
 ip address 10.1.1.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 no ip address
 shutdown
 duplex auto
 speed auto
!
no ip http server
no ip http secure-server
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 10.1.1.1
!
!
              ASA

              Code:
              PIX Version 8.0(2) 
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.2.1 255.255.255.0 
!
interface Ethernet1
 nameif dmz
 security-level 50
 ip address 10.1.1.1 255.255.255.0 
!
interface Ethernet2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet3
 shutdown     
 no nameif
 no security-level
 no ip address
!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list OUTSIDE-IN extended permit icmp any host 100.100.100.2 echo 
access-list OUTSIDE-IN extended permit icmp any host 100.100.100.2 echo-reply 
pager lines 24
mtu outside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
static (dmz,outside) 100.100.100.2 10.1.1.2 netmask 255.255.255.255 
access-group OUTSIDE-IN in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.2.2 1
              R2

              Code:
              !
!         
!
!
!
interface FastEthernet0/0
 ip address 172.16.2.2 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 10.10.10.1 255.255.255.0
 duplex auto
 speed auto
!
no ip http server
no ip http secure-server
ip forward-protocol nd
ip route 100.100.100.0 255.255.255.0 172.16.2.1
              ping từ dmz ra ngoài :
              Code:
              R1#ping 10.10.10.1


Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/40/96 ms
R1#
              từ ngoài cloud vào trong dmz

              Code:
              R2#ping 100.100.100.2 source 10.10.10.1


Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 100.100.100.2, timeout is 2 seconds:
Packet sent with a source address of 10.10.10.1 
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/36/80 ms
R2#

              Comment

              • #8
                thank you ! do mình chưa định tuyến cho router đến mạng 100.100.100.0. bạn có thể giải thích cho mình tại sao ping từ asa đến cloud thì nó báo ??? không?.mặc dù mình đã định tuyến cho R1:
                rip 172.16.2.0
                rip 10.10.10.0
                và có đặt gateway cho cloude.Click image for larger version Name: vd.jpg Views: 1 Size: 21.3 KB ID: 205748

                Comment

                • #9
                  có thể tại PC bạn để firewall. từ PC ping thì được nhưng ngược lại ko được

                  Comment

                  • #10
                    ping từ pc (cloud) cũng không ra được mạng 172.16.2.0 chỉ ping đến được gateway 10.10.10.1 thôi.chẳng hiểu nữa ?

                    Comment

                    Previous template Next
                    Working...
                    X