思科 ASA 9.0(1) - NAT/PAT

网络工程 思科 思科 纳特
2021-07-08 04:21:25

我正在尝试使用 9.0(1) 软件在我的 ASA 5505 防火墙中打开一些端口。我一直在使用另一个软件版本较低的 ASA。正如您可以想象的那样,我很困惑,一直在阅读 Cisco 的所有 CLI 指南,并查看不同的博客以寻求帮助。

我正在尝试打开一些外部端口并尝试将它们映射到我的内部服务器中。我想在内部使用不同的端口并将它们转换为内部的原始端口。

外部 = 77.77.77.77
内部 = 10.203.5.1

我正在尝试打开端口 10001 并将其发送到我的网络,同时将其转换为端口 3389。所以我基本上是在尝试通过 RDP 打开多个服务器,但我只有 1 个公共 IP 地址可以使用。我想在所有服务器上保留端口 3389,这样当在局域网内时,人们可以连接到服务器而不必担心自定义端口。当他们在外面时,必须使用 77.77.77.77:10001 通过 ASA 连接到服务器。

据我了解,自从我上次执行上述配置以来,命令已经发生了一些变化,那就是我感觉卡住了。我试过按照此链接上的示例进行操作,但没有走运。我想我在某处读到我需要 2 个对象来使用 PAT 配置进行正确的 NAT 还是我在这里的方式?

如果有人能指出我的方向,我将不胜感激,因为我现在所处的位置我不能做我认为它应该做的事情:o)

1个回答

这是您要完成的任务的示例配置。

首先为您的服务器创建一个对象:

object network SRV1
host 10.203.5.1

接下来,创建使用外部接口 IP 的 PAT 规则:

object network SRV1
nat (inside,outside) static interface service tcp 3389 10001

8.2 及以下代码的数据包处理顺序为ACL --> NAT。8.3 后的代码是 NAT --> ACL,因此您的 ACL 将具有对内部网络 IP 的许可。

最后,创建您的 ACL 规则:(假设您的访问列表名称是 external_access_in)

access-list outside_access_in extended permit tcp any object SRV1 eq 3389

冲洗并重复。

其它你可能感兴趣的问题
上一篇Cisco VPN 日志不显示用户名 下一篇Cisco + FreeRADIUS:Exec 15 级特权模式