为前向和反向流匹配的非对称 NAT 规则

网络工程 纳特
2021-07-21 18:51:03

我正在研究运行 8.2(5) 的 ASA 5510 fw,但遇到以下问题。

我登录到防火墙后面的服务器,并尝试 ping 同一防火墙后面不同服务器上托管的网站的公共 IP。ping 失败,我看到如下条目:

%ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows; Connection for icmp src inside:192.168.1.122 dst outside:1.1.1.227 (type 8, code 0) denied due to NAT reverse path failure

我正在运行静态 nat。

当前的 nat 配置:

nat (inside) 1 0.0.0.0 0.0.0.0

static (inside,outside) 1.1.1.227 192.168.1.120 netmask 255.255.255.255 
static (inside,outside) 1.1.1.228 192.168.1.122 netmask 255.255.255.255 
static (outside,inside) 192.168.1.120 1.1.1.227 netmask 255.255.255.255 
static (outside,inside) 192.168.1.122 1.1.1.228 netmask 255.255.255.255

我可以 ping 到任何其他网站,也可以从防火墙后面的服务器内浏览互联网。我只是无法访问在内部 ip 上配置的任何网站,这是一个被 nat 的 ip。

任何人都知道什么可能是错的?我尝试在网上搜索了一下,但提到的解决方案没有奏效。

请帮助我指出正确的方向。

谢谢

1个回答

您不需要内部- > 外部外部-> 内部规则。只是(内部,外部)规则会做我认为你想要的???(它们适用于两个方向)

同一防火墙后面的不同服务器

那是发夹。任何思科设备都不允许这样做。要使其工作,数据包必须离开ASA(实际上是放在电线上)并返回到它,否则它不会遵循所需的 NAT 逻辑。

其它你可能感兴趣的问题
上一篇RSTP - 连接一个网桥的 2 个端口 下一篇将思科 ISE 升级到 1.2