NAT 带我到错误的地方

网络工程 思科-ASA 纳特
2022-02-15 18:37:11

我们有一个带有多个接口的 5555-x。我们的外部接口和 DMZ 接口具有可路由的 IP 地址,DMZ 子网通过外部接口的 IP 地址路由。

为了可读性而剥离。

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 123.123.6.243 255.255.255.248

interface GigabitEthernet0/1
 nameif inside
 security-level 50
 ip address 192.168.50.4 255.255.255.0

interface GigabitEthernet0/2
 nameif dmz
 security-level 50
 ip address 123.123.27.129 255.255.255.224

object-group network newprod-hosts
 network-object host 123.123.27.134

route inside 192.168.60.0 255.255.255.0 192.168.50.1 1

我正在尝试将123.123.27.13422 端口 PAT 到 22192.168.60.20端口

object network inside-ssh-host
 host 192.168.60.20

nat (inside,dmz) static 123.123.27.134 service tcp ssh ssh

access-list OUTSIDE extended permit tcp any host 123.123.27.134 eq ssh

但是,当我这样做并尝试远程登录到端口 22 时,123.123.27.134 我最终会遇到一个甚至不属于我们的服务器和我不期望的 SSH 版本。有趣的是,如果我删除上面列出的 ACL,我将无法再访问该端口,所以很明显我们的 ASA 正在做一些奇怪的事情......

% telnet 123.123.27.134 22
 Trying 123.123.27.134...
 Connected to www.<DOMAIN THAT DOES NOT BELONG TO US>.com.
 Escape character is '^]'.
 SSH-2.0-OpenSSH_4.3
 ^]

我在这里做错了什么,还是我们需要联系我们的上游供应商来弄清楚那里发生了什么?

编辑:我们最近从上游提供商那里获得了这个 DMZ 子网,但是基于 ACL 的网络流量路由到我们坐在这个 ASA 后面的 F5 工作正常。

编辑2:当我whois在这个子网(123.123.27.128/27)上做时,它返回前一个受让人的信息,他有一个更大的123.123.27.128/26子网

0个回答
没有发现任何回复~
其它你可能感兴趣的问题
上一篇无法在 Azure IPSEC VPN 连接上接收返回数据包 下一篇从IP地址计算子网掩码