ASA 9.1 静态 PAT(“端口转发”)不起作用

网络工程 思科 纳特
2021-07-26 23:50:25

目标是将两个不同的端口 1195 和 1196 从 ASA 的外部地址转发到内部但在同一端口上的两个不同主机。

这些是本示例中使用的地址:

  • ASA.Internet 192.168.1.99/24
  • ASA.DMZ 172.16.0.1/24

以下是一台内部主机的相关配置部分:

object network VPN2
 host 172.16.0.66 
 nat (DMZ,Internet) static interface service udp 1194 1195

object service VPN
 service udp destination eq 1194

access-list Internet_access_in_1 extended permit object VPN any object VPN2
access-list Internet_access_in_1 extended deny ip any any

问题是:

  • 在这种情况下使用数据包跟踪器的正确方法是什么?
  • 在这种情况下,在 ACL 中使用的正确目标端口是什么?

实验:

使用packet-tracer input internet udp 8.8.8.8 1234 172.16.0.66 1194(在 IP/端口内)我得到

Phase: 7
Type: NAT
Subtype: rpf-check
Result: DROP
Config:
object network VPN2
 nat (DMZ,Internet) static interface service udp 1194 1195
Additional Information:

使用packet-tracer input internet udp 8.8.8.8 1234 192.168.1.99 1195(外部 IP/端口)我显然得到

Phase: 4
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:

在任何情况下,数据包当前都在 udp 端口​​ 1195 上的 Internet(外部)接口上击中防火墙,但在内部看不到它们。show nat detail

  (DMZ) to (Internet) source static VPN2 interface   service udp 1194 1195
     translate_hits = 0, untranslate_hits = 0
     Source - Origin: 172.16.0.66/32, Translated: 192.168.1.99/24
     Service - Protocol: udp Real: 1194 Mapped: 1195

现在让我发疯的是,如果我将端口 1195 添加到访问列表,则数据包跟踪器的以下调用将接受流量:

packet-tracer input internet tcp 8.8.8.8 1234 172.16.0.66 1195

那是内部IP但外部端口?WT...?

1个回答

NAT 部分 1 中的任何一个都有一个手动动态 PAT(隐藏)。我将它移到了自动后(部分 3),一切都很好......

其它你可能感兴趣的问题
上一篇Linux 路由:2 个本地接口之间的路由取决于源地址? 下一篇RIPv2 和 RIPng 中的路由选择(等跳数)