我被要求configuration我们的ASA 5505,以将来自一个外部IP(我们称之为208.X)的stream量路由到任意数量的内部静态IP。 我被告知考虑端口转发/映射。 鉴于我对networking相关的任何事情还是不知所措,我无法判断我在本网站或Google上find的任何信息是否相关。 我们从头开始。
access-list OUTSIDE_IN扩展许可证tcp任何主机208.X eq www access-list OUTSIDE_IN扩展许可证tcp任何主机208.X eq 678 访问列表OUTSIDE_IN扩展许可证tcp任何主机208.X公式789 接口外部的access-group OUTSIDE_IN
我觉得我正朝着错误的方向前进。 它在哪里定义端口678stream量去内部IP A,而端口789stream量去内部IP B?
谢谢你的帮助。 再一次,任何教育都非常感激。
你在一半:)
一般来说,NATing防火墙在接口之间传输stream量有两个基本的必需条件。 在最严格的意义上还有更多,但下面的两个是最常见的。 第一个是访问控制,第二个是翻译规则。 对于大多数防火墙来说,这种模式是正确的 – 即使它们不在有限的GUI(SOHO /消费者防火墙/路由器)中公开 – GUI可能会在下面为您做。 但是,在CLI中,必须注意configuration访问控制和转换规则。
如果你的例子,你已经configuration访问控制端的访问列表。 OUTSIDE_IN访问列表在IN方向上绑定到外部接口。
了解到,您的访问列表告诉ASA允许来自TCP / 80上的208.x,TCP / 678和208.x上的任何源 IP / TCP端口组合的外部接口上接收的TCP通信在TCP / 789上。
下一步(或第一步取决于你喜欢做什么)是创build一个翻译规则,以便stream量得到翻译 – 当然通过了访问控制检查。
在ASA 8.2及更早版本中,这是通过静态命令完成的。 NAT的主要变化是在ASA 8.3和更高版本中实现的 – 所以以下不适用于8.3和更高版本。
假设:
我用1填充了外部IP地址的剩余八位字节,清楚地表明我们将在单个外部IP地址上进行端口地址转换(PAT),特别是静态PAT。 这与传统的静态NAT相反,每个内部IP都有自己独特的外部IP。
static (inside,outside) tcp 208.1.1.1 80 192.168.1.100 80 netmask 255.255.255.255 static (inside,outside) tcp 208.1.1.1 678 192.168.1.101 678 netmask 255.255.255.255 static (inside,outside) tcp 208.1.1.1 789 192.168.1.102 789 netmask 255.255.255.255 一般来说,应该避免使用静态PAT,因为从pipe理和技术的angular度来看,它是最不可能的NATtypes。 如果你需要将许多内部服务器暴露给互联网,那么最简单的方法就是使用传统的静态NAT – 每个服务器都有自己的外部IP。
参考:
ASA 7.2命令参考
ASA 7.2命令参考static命令
-Weaver