关于 Cisco ASA 中的手动 NAT

网络工程 思科 思科
2021-07-07 16:48:40

我有运行 9.2 版的 cisco ASA 5515-x。我想将 80 上的请求转发到我的 DVR 的 9006。

我这样做了:

object network obj-10.10.26.6
  host 10.10.26.6
object network obj-203.156.213.173
  host 203.156.213.173
object service port-80
  service tcp source eq 80
object service port-9006
  service tcp destination eq 9006

nat (inside,public-IP) source static obj-10.10.26.6 obj-203.156.213.173 service port-80 port-9006

在池 IP 中进行端口转发时出现以下错误:

pac in public-IP tcp 8.8.8.8 12345 203.156.213.173 9006

结果:

input-interface: Public-IP
input-status: up
input-line-status: up
output-interface: Public-IP
output-status: up
output-line-status: up
Action: drop

Drop-reason: (nat-no-xlate-to-pat-pool) Connection to PAT address without pre-existing xlate

我在这里做错了什么?为什么我会收到此错误:“丢弃原因:(nat-no-xlate-to-pat-pool)连接到 PAT 地址而没有预先存在的 xlate。

实际上,201.135.201.73 是我的公共 IP,203.156.213.173 是我的 ISP 提供的池 IP,它可以路由到我的公共 IP。

2个回答

尝试:

no nat (inside,public-IP) source static obj-10.10.26.6 obj-203.156.213.173 service port-80 port-9006

object network obj-10.10.26.6
  host 10.10.26.6
  nat (inside,public-IP) static 203.156.213.173 service tcp port-80 port-9006

(或类似的东西,我是凭记忆做的)。

或者,因为我猜测您的静态 nat之前还有另一个(动态)nat 语句(但我还没有足够的声誉在评论中询问您,呃!),重新排列顺序,以便静态先到先得。

如果您使用源 NAT,则端口应设置为源。

object service port-9006
 service tcp source eq 9006

清除翻译表。

clear xlate
其它你可能感兴趣的问题
上一篇防火墙签名 下一篇上次更新 OSI 模型层的时间