我有一个ASA(A)和一组公共IP(A1..A6)。 我有另一个服务器S与公共IP(S1)。
我想要所有stream量到A2:22 NAT(转发)到S1:22。 (SSH在这里只是一个例子)如果可能的话,我希望stream量甚至不要触摸内部接口。
(我怎样才能做到这一点?
我试过了:
access-list outside_access_in line 26 extended permit tcp any host S1 eq ssh access-list outside_access_in line 26 extended permit tcp any host S1 eq ssh static (outside,outside) A2 S1 netmask 255.255.255.255 tcp 0 0 udp 0 但是,根据数据包追踪器,总是死于外部接口上的隐式传入丢弃规则。 我甚至试图通过使用“放下你所有的裤子”来满足它:任何规则,没有运气。
我知道,这是不够的真正使其工作。 但它可以工作吗?
您需要确保内部接口stream量是允许的。
sh run | i same-security-traffic
如果不是,则发出以下命令:
same-security-traffic permit intra-interface
它将允许stream量到达并离开防火墙在相同的界面(发展)。
另外,你的静态NAT不应该是必须的,因为stream量不会跨越任何接口。