我正在尝试在ASA 5505上设置NAT转换,但新增公共IP地址在添加之后永远无法使用。 我确信我在做一些愚蠢的事情,但是到目前为止,这个问题已经没有了我。 基本上,我试图映射XX.XX.115.195 => 192.168.125.7。 XX.XX.115.194是防火墙的公共IP,它是可访问的,但115.195似乎从来没有拿起。 我inheritance了原来的configuration,所以有可能是其他规则之一阻止这种情况发生。 我已经包括了我认为是以下相关部分。
以下是我添加的具体规则。 我已经证实,我能够通过通常的端口和协议从防火墙内部到达125.7服务器,但是从公共115.195外部不能响应任何事情。
静态(外部,内部)192.168.125.7 XX.XX.115.195networking掩码255.255.255.255
ASA版本7.2(4) ! 接口Vlan1 名称里面 安全级别100 IP地址192.168.125.1 255.255.255.0 ! 接口Vlan2 外面的名字 安全级别0 IP地址XX.XX.115.194 255.255.255.248 ! 访问列表外部扩展许可证tcp任何主机XX.XX.115.194当量44000 access-list outside-in扩展许可证tcp任何主机XX.XX.115.194 eq https access-list outside-in扩展许可证tcp任何主机XX.XX.115.194 eq 4000 access-list inside_nat0_outbound扩展许可证ip any 192.168.125.192 255.255.255.192 NAT(内部)0访问列表inside_nat0_outbound nat(内部)1 0.0.0.0 0.0.0.0 静态(内部,外部)tcp接口44000 192.168.125.15 44000networking掩码255.255.255.255 静态(内部,外部)tcp接口https 192.168.125.15 httpsnetworking掩码255.255.255.255 静态(内部,外部)tcp接口4000 192.168.125.15 4000networking掩码255.255.255.255 静态(外部,内部)192.168.125.7 XX.XX.115.195networking掩码255.255.255.255 外部访问组外部接口
你有你的NAT语句翻转…应该是
static (inside,outside) XX.XX.115.195 192.168.125.7 netmask 255.255.255.255 这样做后,您的ACL需要允许入站stream量
您是否添加了匹配的ACL以允许该IP地址上的入站stream量?
它看起来像你有ACL的xx115.194地址,以允许https /端口44000/4000入站。 您需要为xx115.195地址允许的端口添加匹配的ACL