Править: Мой ответ ниже может быть полезен для кого-то выполняющего версию ASA или ПРОИЗВЕСТИ ПРОБУ МОНЕТ операционная система до 7,0, но вероятно не полезен для плаката.
В версиях 7.0 и nat-control
функциональность, которую я описываю ниже, отключена (см. http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008046f31a.shtml).
У Вас нет a nat (dmz) ...
для сети DMZ. По умолчанию ASA не передаст трафик между сетями, если он не пересечет a nat
(даже если это - a nat (interface) 0
препятствовать тому, чтобы NAT произошел).
Добавьте некоторые команды (предполагающий, что Вы хотите, чтобы исходящий трафик от демилитаризованной зоны до Интернета был NAT'd и что Вы хотите, чтобы трафик от внутренней части до демилитаризованной зоны не был NAT'd):
access-list inside_nat0_outbound 10.1.4.0 255.255.252.0 172.16.16.0 255.255.255.0
nat (inside) 0 access-list inside_nat0_outbound
nat (dmz) 1 0.0.0.0 0.0.0.0
Это заставляет исходящий трафик от демилитаризованной зоны быть NAT'd и обходит NAT для трафика от подсети ЛВС до подсети демилитаризованной зоны.
Идентификатор пользователя сканирования равен 0 (root).
Проверьте, если / etc / passwd
содержит две записи для сканирования. Один сопоставлен с корневым.
В противном случае, если вы используете какие-либо другие службы имен, проверьте, что они не экспортируют сканирование как UID 0.
И убедитесь, что вы сказали этим людям, что сопоставление нескольких учетных записей с одним и тем же UID не является хорошей идеей. если вы нарушите разделение привилегий, как вы обычно ожидаете.