TOPIC:

hi,
我有一个运行iOS 7.0的525 PIX防火墙。我不能穿过防火墙。内部接口被引导到PC，我可以ping它。外部接口被引导到Cisco 3845路由器，我可以ping它。但由于某种原因，我无法从PC中划分Cisco 3845。而且我不是在尝试做NAT配置。我在这里遗漏了什么？这是我的配置，任何帮助都非常批准。谢谢



PIX版本7.0（1）
名称
!
接口Ethernet0.
双工全部
外面的名称
安全级0
IP地址10.168.253.253 255.255.255.252
!
接口GigabitEthernet0.
里面的名称
安全级别100
IP地址10.168.2.2 255.255.255.0
!
启用密码
隘口
hostname pixfirewall.
域名default.domain.Invalid
FTP模式被动
访问列表INSITE_IN扩展许可IP任何
访问列表INSITE_IN扩展许可证TCP任何
Access-list exings_in扩展许可IP任何
Access-List exings_in扩展许可证TCP任何
寻呼机第24行
记录使能
记录缓冲信息
MTU在1500之外
MTU内部1500
没有故障转移
在外面监视器接口
监控接口内
ASDM Image Flash：/asdm-501.bin
没有ASDM历史使能
ARP超时14400.
NAT（内部）0 10.168.2.0 255.255.255.0
在外面接口中的Access-group _in
在接口内部访问-roomal inhove_in
路线外部0.0.0.0 0.0.0.0 10.168.253.254 1
超时xlate 3:00:00
Timeout Conn 1:00:00半关闭0:10:00 UDP 0:02:00 ICMP 0:00:02
超时sunrpc 0:10:00 H323 0:05:00 H225 1:00:00 MGCP 0:05:00
超时mgcp-pat 0:05:00 SIP 0:30:00 SIP_MEDIA 0:02:00
超时UAUTH 0:05:00绝对
HTTP Server启用
HTTP 10.168.2.0 255.255.255.0内部
没有SNMP-Server位置
没有SNMP-Server联系
SNMP-Server启用陷阱SNMP
Telnet 10.168.2.0 255.255.255.0内部
Telnet超时5.
SSH超时5.
控制台超时0.
!
类地图检查_default
匹配默认检查 - 流量
!
!
策略地图global_policy
课程检查_default.
检查DNS最大长度512
检查ftp.
检查H323 H225
检查H323 RAS.
检查rsh.
检查RTSP.
检查ESMTP.
检查SQLNET.
检查瘦
检查Sunrpc.
检查XDMCP.
检查SIP
检查NetBIOS.
检查TFTP.
!
服务 - 政策Global_Policy Global
： 结尾

将此行添加到配置中，看看它是否正常工作

Access-List exings_in扩展许可证 ICMP. any

Maximus ......许可证IP规则包括ICMP，因此不会产生差异。

听起来像路由问题...你的Cisco路由器是否通过界面IP Addres外部的PIX返回内部子网静态路由???

将此添加到路由器：

IP路线10.168.2.0 255.255.255.0 10.168.253.253

看看这是否是诀窍..如果没有，请告诉我，我将深入挖掘到您的配置中。

TGC.

Great Cornholio,

您确定“许可IP”访问列表包含ICMP协议？

我从来没有回忆能够与路由器iOS一起做。换句话说，您需要创建特定的“许可ICMP”访问列表条目，以便能够允许此类数据包通过。

我不确定交易是什么与新的PIX v7;

考虑到伟大的玉米米对访问列表是正确的，然后在他建议时，在3800路由器中添加指示的静态路由条目应该完成作业。

另一方面，如果PIX操作系统中的“许可IP”语句不包含ICMP协议（似乎对我更逻辑），则需要创建一个访问列表条目以允许ICMP数据包传递外部接口到内部。

如果您设法解决问题，请告诉我们，以何种情况。

干杯，

hello,

如果我理解这是情景---->

路由器<

---

PIX.

---

个人电脑

我可以看到你的全部IP堆栈（ICMP.UDP，TCP）在外部接口上打开。如果这消除了返回ICMP被阻止的可能性。

请做到这一点 - >

在Config提示类型的PIX上，

调试ICMP跟踪

现在这将告诉您ICMP对请求的回复实际上是否回来？如果不

然后，肯定是您的路由器阻止ICMP或绝对没有返回路线

添加这个; -

IP路线10.168.2.0 255.255.255.0 10.168.253.253

看看这是否有帮助！

我通过在路由器中放置静态路由来解决这个问题;

IP路线10.168.2.0 255.255.255.0 10.168.253.253

它做了诡计......谢谢TheEgreatCornholio

这是来自PIX的日志


调试ICMP跟踪在1级启用
ICMP.回声请求（LEN 32 ID 512 SEQ 19712）10.168.2.10> 10.168.253.254
ICMP.回答答复（LEN 32 ID 512 SEQ 19712）10.168.253.254> 10.168.2.10
ICMP.回声请求（LEN 32 ID 512 SEQ 19968）10.168.2.10> 10.168.253.254
ICMP. ECHO回复（LEN 32 ID 512 SEQ 19968）10.168.253.254> 10.168.2.10
ICMP.回声请求（LEN 32 ID 512 SEQ 20224）10.168.2.10> 10.168.253.254
ICMP.回复答复（LEN 32 ID 512 SEQ 20224）10.168.253.254> 10.168.2.10
ICMP.回声请求（LEN 32 ID 512 SEQ 20480）10.168.2.10> 10.168.253.254
ICMP.回声回复（LEN 32 ID 512 SEQ 20480）10.168.253.254> 10.168.2.10