Cisco PIX 8.0.4，静态地址映射不起作用？

将运行 5.3.1 的 Pix 升级到 8.0.4。内存/IOS 升级顺利，但 8.0.4 配置并非 100% 正常工作。它所基于的 5.3.1 配置工作正常。

基本上，我有三个网络（内部、外部、dmz），dmz 上的一些地址静态映射到外部地址。问题似乎是这些地址无法发送或接收来自外部（互联网）的流量。没有静态映射的 DMZ 上的东西似乎工作正常。所以，基本上：

内部 -> 外部：有效 内部 -> DMZ：有效 DMZ -> 内部：有效，只要规则允许 DMZ（非静态）-> 外部：有效

但：

DMZ（静态）->外部：失败 外部->DMZ：失败（因此，例如，udp 1194 流量到 .102，http 到 .104）

我怀疑配置的 nat/global 部分中缺少了某些东西，但我无论如何也想不出是什么。有人能帮忙吗？

完整配置如下。感谢您的想法！

！
PIX 版本 8.0(4)
！
主机名防火墙
域名 asasdkpaskdspakdpoak.com
启用密码 xxxxxxxx 加密
passwd xxxxxxxx 加密
名称
！
接口以太网0
 nameif 外部
 安全级别 0
 IP 地址 XX.XX.XX.100 255.255.255.224
！
以太网1接口
 nameif 内部
 安全级别 100
 IP地址 192.168.68.1 255.255.255.0
！
以太网2接口
 名称if dmz
 安全级别 10
 IP地址 192.168.69.1 255.255.255.0
！
启动系统 flash:/image.bin
ftp 模式被动
dns 服务器组 DefaultDNS
 域名 asasdkpaskdspakdpoak.com
访问列表 acl_out 扩展允许 udp 任何主机 XX.XX.XX.102 eq 1194
访问列表 acl_out 扩展允许 tcp 任何主机 XX.XX.XX.104 eq www
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.10 主机 192.168.68.17 eq ssh
访问列表 acl_dmz 扩展允许 tcp 10.71.83.0 255.255.255.0 192.168.68.0 255.255.255.0 eq ssh
访问列表 acl_dmz 扩展允许 tcp 10.71.83.0 255.255.255.0 192.168.68.0 255.255.255.0 eq 5901
访问列表 acl_dmz 扩展允许 udp 主机 192.168.69.103 任何 eq ntp
访问列表 acl_dmz 扩展允许 udp 主机 192.168.69.103 任何 eq 域
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.103 任何 eq www
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.100 主机 192.168.68.101 eq 3306
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.100 主机 192.168.68.102 eq 3306
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.101 主机 192.168.68.101 eq 3306
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.101 主机 192.168.68.102 eq 3306
访问列表 acl_dmz 扩展允许 tcp 10.71.83.0 255.255.255.0 主机 192.168.68.101 eq 3306
访问列表 acl_dmz 扩展允许 tcp 10.71.83.0 255.255.255.0 主机 192.168.68.102 eq 3306
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.104 主机 192.168.68.101 eq 3306
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.104 主机 192.168.68.102 eq 3306
访问列表 acl_dmz 扩展允许 tcp 10.71.83.0 255.255.255.0 主机 192.168.69.104 eq 8080
访问列表 acl_dmz 扩展允许 tcp 10.71.83.0 255.255.255.0 主机 192.168.69.104 eq 8099
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.105 任何 eq www
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.103 任何 eq smtp
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.105 主机 192.168.68.103 eq ssh
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.104 任何 eq www
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.100 任何 eq www
访问列表 acl_dmz 扩展允许 tcp 主机 192.168.69.100 任何 eq https
传呼机线路 24
mtu 超出 1500
mtu 1500 以内
mtu dmz 1500
icmp 不可达速率限制 1 突发大小 1
没有启用 asdm 历史记录
arp 超时 14400
全局（外部）1 个接口
nat (内部) 1 0.0.0.0 0.0.0.0
nat（dmz）1 0.0.0.0 0.0.0.0
静态（dmz，外部）XX.XX.XX.103 192.168.69.11 网络掩码 255.255.255.255
静态（内部，dmz） 192.168.68.17 192.168.68.17 网络掩码 255.255.255.255
静态（内部，dmz） 192.168.68.100 192.168.68.100 网络掩码 255.255.255.255
静态（内部，dmz） 192.168.68.101 192.168.68.101 网络掩码 255.255.255.255
静态（内部，dmz） 192.168.68.102 192.168.68.102 网络掩码 255.255.255.255
静态（内部，dmz） 192.168.68.103 192.168.68.103 网络掩码 255.255.255.255
静态（dmz，外部）XX.XX.XX.104 192.168.69.100 网络掩码 255.255.255.255
静态（dmz，外部）XX.XX.XX.105 192.168.69.105 网络掩码 255.255.255.255
静态（dmz，外部）XX.XX.XX.102 192.168.69.10 网络掩码 255.255.255.255
接口外部的访问组 acl_out
接口 dmz 中的访问组 acl_dmz
路线外部 0.0.0.0 0.0.0.0 XX.XX.XX.97 1
路由 dmz 10.71.83.0 255.255.255.0 192.168.69.10 1
超时 xlate 3:00:00
超时连接 1:00:00 半封闭 0:10:00 udp 0:02:00 icmp 0:00:02
超时 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
超时 sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
超时 sip-provisional-media 0:02:00 uauth 0:05:00 绝对
动态访问策略记录 DfltAccessPolicy
没有 snmp 服务器位置
没有 snmp 服务器联系
snmp-server 启用陷阱 snmp 身份验证 linkup linkdown coldstart
加密 ipsec 安全关联生存期秒 28800
加密 ipsec 安全关联生存期千字节 4608000
telnet 192.168.68.17 255.255.255.255 内部
telnet 超时 5
ssh 超时 5
控制台超时 0
威胁检测 基本威胁
威胁检测统计访问列表
没有威胁检测统计 tcp 拦截
！
类映射检查默认
 匹配默认检查流量
！
！
策略映射类型检查 DNS preset_dns_map
 参数
  消息长度最大为 512
策略图 global_policy
 检查类_默认
  检查 DNS preset_dns_map
  检查 ftp
  检查 h323 h225
  检查 h323 ras
  检查 netbios
  检查 rsh
  检查 rtsp
  检查瘦
  检查 esmtp
  检查 sqlnet
  检查 sunrpc
  检查 tftp
  检查 SIP
  检查 xdmcp
！
服务策略 global_policy 全局
提示主机名上下文
加密校验和：2d1bb2dee2d7a3e45db63a489102d7de