返回顶部

当前位置: 主页 > 新闻资讯 > 热点聚焦 >

ASA5510 DMZ 区域无法解析外网域名

2015-06-04

  ASA5510 DMZ 区域无法解析外网域名案例

  目前ASA5510分为outside(security-level0),dmz 10.48.35.2(security-level50),inside 10.48.25.2(security-level100),dmz和inside网段互访做了nonat和access-list permit,dmz和inside都映射为outside接口外网ip

  然后在outside接口上有个access-group permit tcp 某个外网ip 10.48.25.2 1433,让外网特定ip访问inside数据库端口并应用到outside接口

  dmz接口上有个access-group per tcp host 10.48.35.2 10.48.25.2 1433和icmp,让dmz的服务器访问inside数据库端口,并能ping通inside服务器

  结果inside区域的服务器正常上网,dmz区域服务器只可以ping通外网ip,不能用dns解析外网域名,都是解析超时

  我绝对是小白新手,请大家帮我分析一下什么情况造成的,我原来以为高security(50)都可以向低security(0)访问

ASA5510 DMZ 区域无法解析外网域名

  解答:

  那个策略只写了到inside的相应端口访问,难道其他都默认deny?

  显示配置了PERMIT,所以其他都是DENY (DMZ-OUTSIDE)

  还是说dmz端口上有access-group就看access-group,没permit的都默认deny,

  1. 首先看有没有会话

  2. 没有会话看ACl,如果接口没有配置ACL,那么采取默认行为

  高到低允许

  如果dmz端口上没有access-group,就匹配高security向低security无限制访问?

  有限制,无会话的流量,需要做如下处理:

  流量方向接口放行

  inspect

©  北京京兆亿达科技有限公司 版权所有 京ICP备14043786号-1

服务专线:400-0809-059  

地址:北京市海淀区上地信息路7号-1层D21室

李亚洲 Tel:137-1889-5661

李   白 Tel:186-1832-0142

陈振周 Tel:158-1142-4623

在线客服