嘿,我对端口转发以及假设如何工作感到有些困惑。
在实验室中,我设置了对外部接口的 VPN 访问,并且可以找到。使用 ip 10.177.5.40 联系 ASA 的外部接口的用户会被提示下载 cisco any connect 等。这是在用户在浏览器中键入 ip 并自动重定向到 https 页面时完成的。端口 443
现在我希望外部用户能够访问我的 DMZ 服务器服务 HTTP 和 FTP。用户通过键入 http://10.177.5.40 或 ftp://10.177.5.40 来访问 dmz 服务。是否有可能,或者我必须使用另一个 ip,如 10.177.5.41 。
现在看了几个小时的教程后,我不得不承认我以前更困惑:)
您可以执行静态 PAT(端口地址转换)以将 IP(包括 ASA 的接口 IP)的特定端口转发到不同的内部设备。您可以对任何端口执行此操作,但每个端口只能使用静态 PAT 语句转发到一个内部设备。例如,假设您有以下内容:
interface Ethernet0/2
nameif dmz
ip address 192.168.99.0 255.255.255.0
security-level 50
然后,您将为 DMZ 主机创建一个对象,并使用带有 service 关键字的静态“nat”语句为您的对象创建端口级静态 PAT,如下所示:
object network DMZHOST
host 192.168.99.10
nat (dmz,outside) static interface service tcp ftp ftp
您的 DMZ 主机现在可以通过 ftp 访问://10.177.5.40。这在Cisco ASA 配置指南中有详细记录。
如果您使用在 TCP 443(HTTPS)端口上运行的 AnyConnect,那么您不能将 PAT 静态化到另一个内部/DMZ 主机,否则您将破坏 AnyConnect。在这种情况下,您可以在不同的端口上运行 AnyConnect:
webvpn
port 8443
这样,您的 AnyConnect 就可以通过 https://10.177.5.40:8443 访问。或者,您可以将不同的外部端口 NAT 转换为内部主机上的端口 443,如下所示:
object network DMZHOST
host 192.168.99.10
nat (dmz,outside) static interface service tcp 443 8443
这将使您的 DMZ 主机可通过 https://10.177.5.40:8443 访问,但主机上的 Web 服务器将继续在端口 443 上运行。
客户端只有通过 https 端口 443 访问 ip 才能下载软件 vpn 客户端,即https://10.177.5.40,除非客户端有从 http 到 https 的自动重定向。
因此,您可以免费使用同一 IP 地址上的端口 80 http 和 ftp,请查看 Cisco ASA 防火墙配置指南中的 FTP、HTTP 和 SMTP 的单一地址(带端口转换的静态 NAT)部分.
http://www.cisco.com/en/US/docs/security/asa/asa91/asdm71/firewall/nat_objects.html#wpxref67001