求解ASA5520防火墙命令代码

在ASA防火墙上有这样的命令......object-group protocol DM_INLINE_PROTOCOL_12protocol-object ipprotocol-object icmp……access-list dmz_access_in extended permit object-group DM_INLINE_PROTOCOL_12 any any在这条access-list之前有许多条，但都是permit 请问上面那条和permit any any 是一回事吗？那如果一回事，前面那些permit且不都是白费？

我说的就是楼上的意思 扩展ACL 是要加permit ip any any 我想问的就是 是否这个命令行 就代表了permit ip any any 因为DM_INLINE_PROTOCOL_12下面就是ip icmp 协议，而access-list dmz_access_in extended permit object-group DM_INLINE_PROTOCOL_12 any any是不是可以这样转换access-list dmz_access_in extended permit ip any any还是说 这个M_INLINE_PROTOCOL_12协议组的ip与扩展ACL中permit里面的ip不是一个概念呢

首先要做nat nat (inside) 1 0.0.0.0 0.0.0.0 global (outside) 1 interface 在做static (inside,outside) 172.1.1.20 191.10.1.10 netmask 255.255.255.255 这样，你的内网191.10.1.10 就被映射成172.1.1.20 的地址出外网。 所有你要允许外部的流量可以访问172.1.1.20 这个地址 access-list 100 permit ip any host 172.1.1.20 access-group 100 in interface outside 这样外网就可以访问了。

1.两者不是一回事2.object-group protocol DM_INLINE_PROTOCOL_12protocol-object ipprotocol-object icmpprotocol-object+协议 这边你可以选择你想要管理或者控制的协议，而permit any any(在标准acl用的)不可以的。如果这边把所有的协议都加上protocol-object应该算是等同的，那样的就失去了object-group的作用了。3.access-list dmz_access_in extended permit object-group DM_INLINE_PROTOCOL_12 any any你这边用的扩展acl，是没有permit any any这个写法的，必须有协议的，扩展acl最后一般都是permit ip any any

还一个问题 请教像这种ACL中把object-group放在源的地方是什么意思？比如……object-group service DM_INLINE_SERVICE_3service-object icmp service-object tcp eq 3389 service-object tcp eq www object-group network DM_INLINE_NETWORK_1network-object host Crm_Web_Dxnetwork-object host CRM_Database_Dx……access-list dmz_access_in extended permit object-group DM_INLINE_SERVICE_3 any object-group DM_INLINE_NETWORK_1 应该 不是源服务DM_INLINE_SERVICE_3的任何地址允许访问DM_INLINE_NETWORK_1 网络吧？？？？

如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息，可以点下面链接进行举报！

点此我要举报以上问答信息