thực hiện routing và NAT

[nguyenvanquyetdt6]

các bạn cho mình hỏi :minh thực hiện static route trên ASA thì từ ASA có thể ping đến tất cả các mạng inside và outside.đồng thời các mạng vùng inside có thể ping đến cổng inside của ASA và outside cũng như vậy.nhưng mình không thể ping từ inside qua ASA đến 1 địa chỉ của vùng outside được.
Và khi thiện NAT thì làm sao biết mình đã thực hiện NAT thành công.
mong các bạn giup đỡ.

[snowball]

- trong ASA nó chia ra các interface là : Security-level bạn nhé, ,mặc định thì vùng inside sẽ có Security-level =100 còn outside là 0. trong ASA nó có một luật là gói tin đi từ level cao đến level thấp thì ok nhưng chiều ngược lại thì lại bị deny . vì vậy để bạn có thể ping được 1 pc bên trong vùng inside ra vùng outside thì bạn chỉ cần config một access-list sau đó permit địa chỉ pc outside và áp nó vào interface outside theo chiều IN là ok.
- còn để muốn xem bạn đã NAT thế nào thì bạn dùng command này nhé: show xlate

[nguyenvanquyetdt6]

nhưng mà mình ping từ vùng inside sang vùng outside mà.khi đi từ vùng có mức độ an ninh cao hơn thì ASA sẽ giữ lại địa chỉ ip của đích nguồn cùng các thông tin về các giao thức vào bảng kết nối.khi có phản hồi từ vùng outside thì ASA sẽ ngăn chặn và so sánh nó trong bảng kết nối.khi mà tìm thấy trong bảng kết nối thì gói tin phản hồi được cho phép.
ACL chỉ dùng khi mà mình muốn tạo ra một lỗ hổng trong tường lửa để 1 kết nối từ outside có thể truy cập được vào vùng inside.

[lenguyen1988]

Mac dinh ASA cho ping tu in-out nhung goi tin reply se ko vao duoc cong outside cua ASA ban can tao ACL cho goi tin reply va ap vao cong out

[dante04]

ASA khong luu tru thong tin khi ICMP thuc hien gui thong diep ra ben ngoai, ICMP khong phai la giao thuc stateful, khi goi tin tu ben ngoai phan hoi ve thi ASA coi nhu do la mot ket noi tu huong outside vao va se deniel no