Pergunta : Tráfego de passagem de Cisco ASA 5505 (edição possível do NAT ou do ACL)

Eu tenho um ASA 5505 na frente (de 7) dispositivos.  Cada dispositivo é estaticamente NAT'd a um IP address externo com o ACLs que restringe os portos específicos.  Esta instalação trabalha perfeitamente em ASAs com um único anfitrião atrás do ASA.  Abaixo está um config da amostra do ASA.  Toda a ajuda seria apreciada extremamente!
de 10.200.3.161 255.255.255.240 do IP address do segurança-nível 100
do inside
do nameif do

interface Vlan10
! o segurança-nível 0
do outside
do nameif do
interface Vlan300
permite-ssc-mgmt
de 172.21.3.74 255.255.0.0 do IP address de/>! acesso 300
do switchport do
interface Ethernet0/0
! acesso 10
do switchport do
interface Ethernet0/1
! acesso 10
do switchport do
interface Ethernet0/2
! acesso 10
do switchport do
interface Ethernet0/3
! acesso 10
do switchport do
interface Ethernet0/4
! acesso 10
do switchport do
interface Ethernet0/5
! acesso 10
do switchport do
interface Ethernet0/6
! da descrição nova externa intra-interface
da rede do
object-group de 192.168.98.0 255.255.255.0 do anfitrião do rede-objeto do
de 192.168.97.0 255.255.255.0 do anfitrião do rede-objeto do
de 192.168.96.0 255.255.255.0 do anfitrião do rede-objeto do
de 192.168.95.0 255.255.255.0 do anfitrião do rede-objeto de Hosts
da descrição de New_Hosts
da rede do
object-group do eq 20000 do tcp do serviço-objeto do
do ICMP do serviço-objeto do serviço DM_INLINE_SERVICE_1
do eq 20000
object-group do porto-objeto da votação 20000
da descrição do tcp
do serviço Poll2 do eq 2101
object-group do porto-objeto de Poller
da descrição do tcp
da votação do serviço da licença/>object-group da licença/>same-security-traffic do acesso
object-group de 192.168.93.0 255.255.255.0 do rede-objeto do
de 192.168.92.0 255.255.255.0 do rede-objeto do
de 192.168.91.0 255.255.255.0 do rede-objeto do
de 192.168.90.0 255.255.255.0 do rede-objeto do
de 192.168.89.0 255.255.255.0 do rede-objeto do
dos anfitriões 10

same-security-traffic do switchport do
interface Ethernet0/7
(Subnets) o outside_access_in do
access-list do eq 20000 do tcp do serviço-objeto do
do ICMP do serviço-objeto do serviço DM_INLINE_SERVICE_2
de Old_Hosts
object-group do grupo-objeto de New_Hosts
do grupo-objeto do
de 192.168.79.0 255.255.255.0 do rede-objeto do
de 192.168.201.0 255.255.255.248 do rede-objeto da rede DM_INLINE_NETWORK_4
do
object-group de 192.168.201.0 255.255.255.248 do rede-objeto do
de 192.168.79.0 255.255.255.0 do rede-objeto de Old_Hosts
do grupo-objeto de New_Hosts
do grupo-objeto da rede DM_INLINE_NETWORK_1
estendeu o registro de 172.21.3.64 do anfitrião do objeto-grupo DM_INLINE_NETWORK_1 do objeto-grupo DM_INLINE_SERVICE_2 da licença que elimina erros do registro estendido de 172.21.3.65 do anfitrião do objeto-grupo DM_INLINE_NETWORK_1 do objeto-grupo DM_INLINE_SERVICE_1 da licença do
access-list outside_access_in inativo que elimina erros do registro estendido de 172.21.3.66 do anfitrião do objeto-grupo DM_INLINE_NETWORK_1 do objeto-grupo DM_INLINE_SERVICE_1 da licença do
access-list outside_access_in inativo que elimina erros do registro estendido de 172.21.3.67 do anfitrião do objeto-grupo DM_INLINE_NETWORK_1 do objeto-grupo DM_INLINE_SERVICE_1 da licença do
access-list outside_access_in inativo que elimina erros do outside_access_in estendido do
access-list da eliminação de erros do registro de 172.21.3.69 do anfitrião do objeto-grupo DM_INLINE_NETWORK_1 do ICMP da licença do
access-list outside_access_in inativo o outside_access_in prolongado do
access-list da eliminação de erros do registro do eq 2101 de 172.21.3.69 do anfitrião do objeto-grupo DM_INLINE_NETWORK_4 do tcp da licença estendeu o registro de 172.21.3.70 do anfitrião do objeto-grupo DM_INLINE_NETWORK_1 do objeto-grupo DM_INLINE_SERVICE_1 da licença que elimina erros do registro estendido de 172.21.3.71 do anfitrião do objeto-grupo DM_INLINE_NETWORK_1 do objeto-grupo DM_INLINE_SERVICE_1 da licença do
access-list outside_access_in inativo que elimina erros do IP estendido da licença do
access-list inside_access_in inativo todo o qualquer
global da eliminação de erros do registro (fora) 1 interface
nat (para dentro) 1
static de 255.255.255.255 do netmask do
static de 255.255.255.255 do netmask do
static de 255.255.255.255 do netmask do
static de 255.255.255.255 do netmask do
static de 255.255.255.255 do netmask do
static de 0.0.0.0 0.0.0.0 (para dentro, fora) 172.21.3.65 10.200.3.167 (para dentro, fora) 172.21.3.66 10.200.3.168 (para dentro, fora) 172.21.3.67 10.200.3.169 (para dentro, fora) 172.21.3.69 10.200.3.170 (para dentro, fora) 172.21.3.70 10.200.3.171 (para dentro, fora) inside_access_in do
access-group de 255.255.255.255 do netmask do
static de 255.255.255.255 do netmask de 172.21.3.71 10.200.3.172 (para dentro, fora) 172.21.3.64 10.200.3.174 no outside_access_in do inside
access-group da relação no outside
route da relação fora da optar-inspeção-traffic
do fósforo do inspection_default
de 0.0.0.0 0.0.0.0 172.21.0.1 1
class-map!
! o tipo do
policy-map inspeciona a classe que máxima do global_policy
do auto
policy-map do cliente do mensagem-comprimento do máximo 512
do mensagem-comprimento do parameters
do preset_dns_map
do dns o inspection_default
inspeciona o
do preset_dns_map do dns inspeciona o
do ftp inspeciona o
de h323 h225 inspeciona os ras h323 o
inspeciona o
do rsh inspeciona o
do rtsp inspeciona o
do esmtp inspeciona o
do sqlnet inspeciona o
inspeciona o
do sunrpc inspeciona o
do xdmcp inspeciona o
do sorvo inspeciona o
de netbios inspeciona o
do tftp!
service-policy global_policy global
class= do

Resposta : Tráfego de passagem de Cisco ASA 5505 (edição possível do NAT ou do ACL)

se seu estão tentando de 192.168.x.x, a seguir você tem que adicionar uma rota no ASA

rota 192.168.x.x interno 255.255.x.x  

para permitir o ICMP

global_policy do política-mapa
 inspection_default da classe
inspecionar o ICMP