我有一个PIX运行8.0(3)。
我有一个端口转发,允许外部用户打我的内部networking上的服务器设置如下:
static (inside,outside) tcp interface 8080 192.168.168.100 8080 netmask 255.255.255.255 access-list ACLIN extended permit tcp any host xx.xx.xx.135 eq 8080 …这适用于外部用户。 但内部networking上的用户不能访问http://xx.xx.xx.135:8080 ,我必须添加哪个ACL才能允许这样做?
从面向外部的NAT IP地址访问内部主机会增加许多问题。
首先,PIX / ASA必须configuration为允许这种types的通信。 一般来说它不是默认的。
其次,它可能导致一些不对称的路由问题。 例如,NAT穿越不会更改传入数据包上的源IP地址。 那么H1(内部主机)向ES1(外部服务器IP /端口)发出请求会发生什么。 在防火墙上,NAT将目标从ES1更改为IS1(内部服务器IP /端口)并转发stream量。 IS1处理请求,看到H1在本地networking上并在那里转发。 H1拒绝连接,因为它build立到ES1的连接,期望来自该端口上的ES1的stream量,而不是IS1。
对“思科ASA发夹”进行networkingsearch,您应该在思科网站上find有关解决这些问题的大量讨论,以及大量非思科相关的参考资料。 例如: https : //supportforums.cisco.com/thread/1003238