object network obj-10.15.X.Y
host 10.15.X.X
nat (inside,outside) static 1.1.1.1
sh xlate | in 1.1.1.1
NAT from inside:10.15.X.Y to outside:1.1.1.1
access-list External_Access extended permit ip object-group WhiteList host 10.15.X.Y
应用于外部接口 - 入站。
我正在尝试从对象组白名单中的 IP 地址之一访问公共 IP 地址 (1.1.1.1)。
上面的 ACL 是否正确,因为我已经安装了 NAT?
或者我应该使用类似的东西:
access-list External_Access extended permit ip object-group WhiteList host 1.1.1.1
从 ASA 8.3 代码开始,接口 ACL 需要每个语句中的real-ip。
在您的示例中,您的真实 IP 是10.15.x.x.
因此,您的 ACL 条目必须如下所示:
access-list External_Access extended permit ip object-group WhiteList host 10.15.x.x
或者,我认为更容易,您可以直接在 ACL 语句中使用对象引用:
access-list External_Access extended permit ip object-group WhiteList object obj-10.15.X.Y
^^^^^^^^^^^^^^^^^^^^
另一种看待它的方式是在 8.3+ 代码中,NAT 发生在ACL之前。在 8.2- 代码中,NAT 发生在ACL 之后。
看起来像一个旧的 ASA 8.something。
您的内部接口应设置为安全级别 100,外部为 0。您不应该需要 ACL 来路由到外部并对流量进行 NAT。
如下所示:
access-list External_Access extended permit ip object-group WhiteList object obj-10.15.X.Y
因为您的 IP 地址是 10.15.XX 并且您在 ACL 中包含了 10.15.XY,或者您可以执行以下操作:
access-list External_Access extended permit ip object-group WhiteList host 10.15.X.X