思科ASA端口转发为新手

步骤1：解决这个问题…有关acl_out由access-group acl_out in interface Outside引用

 ! ... more acl lines above access-list acl_out extended permit tcp any host 222.22.2.215 eq 3389 ^^^^^^^ access-list acl-out extended permit tcp any host 222.22.2.210 eq www access-list acl-out extended permit tcp any host 222.22.2.210 eq ssh access-list acl-out extended permit tcp any host 222.22.2.211 eq ssh access-list acl-out extended permit tcp any host 222.22.2.211 eq www ^^^^^^^ 

acl-out不是正确的名称。 你应该使用acl_out

请使用ASA CLI将以下行添加到acl的底部并再次testing：

 access-list acl_out extended permit tcp any host 222.22.2.210 eq www access-list acl_out extended permit tcp any host 222.22.2.210 eq ssh access-list acl_out extended permit tcp any host 222.22.2.211 eq ssh access-list acl_out extended permit tcp any host 222.22.2.211 eq www 

原型设置（确保您处于启用模式）：

在外部接口上应该有一些访问列表来控制哪些stream量可以进入networking。 有可能它已经不存在了，但是如果你有任何入站规则，它就会在那里。

要检查你是否有这样的访问列表，运行

显示运行访问组

它应该返回类似的东西

接口Internet中的访问组Internet_In

这意味着（从右到左）stream量到“Internet”接口（这是一个与nameif Internet接口，如show run int所示），入站stream量，必须通过访问列表“Internet_In”。

您可以显示这个访问列表：

show run access-list Internet_In访问列表Internet_In扩展许可证tcp任何主机$ {Public_IP} eq $ {Public_Port}

第二行通常会出现很多次，每个IP和端口组合被转发。找出你丢失的行。 如果你根本没有接入组，那么为了安全起见，你应该有一个接入组。 通常你只是缺less一行或三个访问列表。

要将行添加到访问列表中，请使用conf t进入configuration模式，然后在访问列表中input所需的行，其格式与之前所示的格式完全相同。

一旦你允许stream量进入，ASA需要知道如果你正在运行NAT。 static命令通过NAT接口映射stream量。 如果您在此ASA上没有使用NAT，则无需担心此映射（ show run nat将显示NATconfiguration）。

调出现有的静态configuration运行：

显示运行静态

它应该返回一些东西，如果你已经有了映射设置，比如：

static（inside，Internet）tcp $ {Public_IP} $ {Public_Port} $ {Priv_IP} $ {Priv_Port} netm 255.255.255.255

“内部”和“互联网”是界面的名称，其余部分是相当自我解释的。 再次，找出你想要的是什么行，在configuration模式下添加它们。