Question : Le trafic de dépassement de Cisco asa 5505 (issue possible de NAT ou d'ACL)

J'ai une asa 5505 devant (7) des dispositifs.  Chaque dispositif est statiquement NAT'd à un IP address externe avec ACLs limitant les ports spécifiques.  Cette installation fonctionne parfaitement sur ASAs avec un centre serveur simple derrière l'asa.  Au-dessous de est une config d'échantillon de l'asa.  N'importe quelle aide serait considérablement appréciée !
de 10.200.3.161 255.255.255.240 d'IP address du sécurité-niveau 100
de l'inside
de nameif du

interface Vlan10
! le sécurité-niveau 0
de l'outside
de nameif du
interface Vlan300
permettent-ssc-mgmt
de 172.21.3.74 255.255.0.0 d'IP address de/> ! accès 300
de switchport du
interface Ethernet0/0
! accès 10
de switchport du
interface Ethernet0/1
! accès 10
de switchport du
interface Ethernet0/2
! accès 10
de switchport du
interface Ethernet0/3
! accès 10
de switchport du
interface Ethernet0/4
! accès 10
de switchport du
interface Ethernet0/5
! accès 10
de switchport du
interface Ethernet0/6
!
object-group de 192.168.93.0 255.255.255.0 de réseau-objet du
de 192.168.92.0 255.255.255.0 de réseau-objet du
de 192.168.91.0 255.255.255.0 de réseau-objet du
de 192.168.90.0 255.255.255.0 de réseau-objet du
de 192.168.89.0 255.255.255.0 de réseau-objet du
de centres serveurs 10

same-security-traffic de switchport du
interface Ethernet0/7
de la laiss/>same-security-traffic de l'accès vieux de la laiss d'intra-interface
object-group de service de scrutin du tcp
de description de Poller
de port-objet de l'eq 2101
object-group du service Poll2 du tcp
de description du scrutin 20000
de port-objet de l'eq 20000
object-group du service DM_INLINE_SERVICE_1
de service-objet d'ICMP du
de service-objet de tcp de l'eq 20000 du
object-group de réseau de New_Hosts
de description nouvelle de Hosts
de réseau-objet de centre serveur de 192.168.95.0 255.255.255.0 du
de réseau-objet de centre serveur de 192.168.96.0 255.255.255.0 du
de réseau-objet de centre serveur de 192.168.97.0 255.255.255.0 du
de réseau-objet de centre serveur de 192.168.98.0 255.255.255.0 du
object-group de réseau description externe inter-interface
(filets inférieurs) l'outside_access_in du
access-list de l'eq 20000 de tcp de service-objet du
d'ICMP de service-objet du service DM_INLINE_SERVICE_2
d'Old_Hosts
object-group de groupe-objet de New_Hosts
de groupe-objet du
de 192.168.79.0 255.255.255.0 de réseau-objet du
de 192.168.201.0 255.255.255.248 de réseau-objet du réseau DM_INLINE_NETWORK_4
du
object-group de 192.168.201.0 255.255.255.248 de réseau-objet du
de 192.168.79.0 255.255.255.0 de réseau-objet d'Old_Hosts
de groupe-objet de New_Hosts
de groupe-objet du réseau DM_INLINE_NETWORK_1
a prolongé la notation de 172.21.3.64 de centre serveur du l'objet-groupe DM_INLINE_NETWORK_1 du l'objet-groupe DM_INLINE_SERVICE_2 de laiss corrigeant la notation de 172.21.3.65 de centre serveur du l'objet-groupe DM_INLINE_NETWORK_1 du l'objet-groupe DM_INLINE_SERVICE_1 de laiss prolongée par outside_access_in inactif du
access-list corrigeant la notation de 172.21.3.66 de centre serveur du l'objet-groupe DM_INLINE_NETWORK_1 du l'objet-groupe DM_INLINE_SERVICE_1 de laiss prolongée par outside_access_in inactif du
access-list corrigeant la notation de 172.21.3.67 de centre serveur du l'objet-groupe DM_INLINE_NETWORK_1 du l'objet-groupe DM_INLINE_SERVICE_1 de laiss prolongée par outside_access_in inactif du
access-list corrigeant l'outside_access_in du
access-list d'élimination des imperfections de notation de 172.21.3.69 de centre serveur du l'objet-groupe DM_INLINE_NETWORK_1 d'ICMP de laiss prolongé par outside_access_in inactif du
access-list l'outside_access_in prolongé du
access-list d'élimination des imperfections de notation de l'eq 2101 de 172.21.3.69 de centre serveur du l'objet-groupe DM_INLINE_NETWORK_4 de tcp de laiss a prolongé la notation de 172.21.3.70 de centre serveur du l'objet-groupe DM_INLINE_NETWORK_1 du l'objet-groupe DM_INLINE_SERVICE_1 de laiss corrigeant la notation de 172.21.3.71 de centre serveur du l'objet-groupe DM_INLINE_NETWORK_1 du l'objet-groupe DM_INLINE_SERVICE_1 de laiss prolongée par outside_access_in inactif du
access-list corrigeant l'IP de laiss prolongé par inside_access_in inactif du
access-list n'importe quel n'importe quel
global d'élimination des imperfections de notation (dehors) 1 interface
nat (à l'intérieur) 1
static de 255.255.255.255 de netmask du
static (à l'intérieur, dehors) 172.21.3.70 10.200.3.171 de 255.255.255.255 de netmask du
static (à l'intérieur, dehors) 172.21.3.69 10.200.3.170 de 255.255.255.255 de netmask du
static (à l'intérieur, dehors) 172.21.3.67 10.200.3.169 de 255.255.255.255 de netmask du
static (à l'intérieur, dehors) 172.21.3.66 10.200.3.168 de 255.255.255.255 de netmask du
static (à l'intérieur, dehors) 172.21.3.65 10.200.3.167 de 0.0.0.0 0.0.0.0 (à l'intérieur, dehors) inside_access_in du
access-group de 255.255.255.255 de netmask du
static (à l'intérieur, dehors) 172.21.3.64 10.200.3.174 de 255.255.255.255 de netmask de 172.21.3.71 10.200.3.172 dans l'outside_access_in de l'inside
access-group d'interface dans l'outside
route d'interface en dehors de la transférer-inspection-traffic
d'allumette de l'inspection_default
de 0.0.0.0 0.0.0.0 172.21.0.1 1
class-map !
! le type du
policy-map inspectent la classe maximum du global_policy
de l'auto
policy-map de client de message-longueur du maximum 512
de message-longueur du parameters
du preset_dns_map
de DNS que l'inspection_default
inspectent le
de preset_dns_map de DNS inspectent le
de ftp inspectent le
de h323 h225 inspectent les ras h323 le
inspectent le
de rsh inspectent le
de rtsp inspectent le
d'esmtp inspectent le
de sqlnet inspectent le
inspectent le
de sunrpc inspectent le
de xdmcp inspectent le
de sip inspectent le
de netbios inspectent le
de tftp !
service-policy global_policy global
class= de

Réponse : Le trafic de dépassement de Cisco asa 5505 (issue possible de NAT ou d'ACL)

si votre essayent de 192.168.x.x, alors vous devez ajouter un itinéraire sur l'asa

itinéraire 192.168.x.x intérieur 255.255.x.x  

pour permettre l'ICMP

global_policy de politique-carte
 inspection_default de classe
inspecter l'ICMP