ASA5505::访问列表允许端口列表上的公共 IP（非范围）

Question 1

对象组在这里是您的好朋友。假设最坏的情况是您的公共地址块不连续，并且没有直接子网映射到您的私有子网，并且您的外部访问列表的默认名称为outside_access_in您将需要如下配置...

object-group network my-servers_pub
network-object host 1.1.1.1
network-object host 1.1.1.3
network-object host 1.1.1.5
...etc
...etc
network-object host 1.1.1.13
network-object host 1.1.1.15

object-group service my-tcp-ports tcp
port-object eq 21
port-object eq 25
port-object eq 80
port-object eq 110
port-object eq 143
port-object eq 3306

object-group service my-udp-ports udp
port-object eq 53

static (inside,outside) 1.1.1.1 192.168.1.2
static (inside,outside) 1.1.1.3 192.168.1.4
static (inside,outside) 1.1.1.5 192.168.1.7
...etc
...etc
static (inside,outside) 1.1.1.13 192.168.1.14
static (inside,outside) 1.1.1.15 192.168.1.16

access-list outside_access_in permit tcp any object-group my-servers_pub object-group my-tcp-ports
access-list outside_access_in permit udp any object-group my-servers_pub object-group my-udp-ports

我应该提醒一下，由于思科在 natting 方面做了一些重大改变，此配置需要进行一些调整才能在 ASA 8.3 及更高版本上运行。

如果您足够幸运，拥有连续的公共地址空间和 1：1 主机映射，您可以将对象组和静态数据压缩为子网：

object-group network my-servers_pub
network-object 1.1.1.0 255.255.255.240

static (inside,outside) 1.1.1.0 192.168.1.0 netmask 255.255.255.240

在这种情况下，您甚至不需要外部主机的对象组，但我这样做只是为了保持一致。

Answer

对象组在这里是您的好朋友。假设最坏的情况是您的公共地址块不连续，并且没有直接子网映射到您的私有子网，并且您的外部访问列表的默认名称为outside_access_in您将需要如下配置...

object-group network my-servers_pub
network-object host 1.1.1.1
network-object host 1.1.1.3
network-object host 1.1.1.5
...etc
...etc
network-object host 1.1.1.13
network-object host 1.1.1.15

object-group service my-tcp-ports tcp
port-object eq 21
port-object eq 25
port-object eq 80
port-object eq 110
port-object eq 143
port-object eq 3306

object-group service my-udp-ports udp
port-object eq 53

static (inside,outside) 1.1.1.1 192.168.1.2
static (inside,outside) 1.1.1.3 192.168.1.4
static (inside,outside) 1.1.1.5 192.168.1.7
...etc
...etc
static (inside,outside) 1.1.1.13 192.168.1.14
static (inside,outside) 1.1.1.15 192.168.1.16

access-list outside_access_in permit tcp any object-group my-servers_pub object-group my-tcp-ports
access-list outside_access_in permit udp any object-group my-servers_pub object-group my-udp-ports

我应该提醒一下，由于思科在 natting 方面做了一些重大改变，此配置需要进行一些调整才能在 ASA 8.3 及更高版本上运行。

如果您足够幸运，拥有连续的公共地址空间和 1：1 主机映射，您可以将对象组和静态数据压缩为子网：

object-group network my-servers_pub
network-object 1.1.1.0 255.255.255.240

static (inside,outside) 1.1.1.0 192.168.1.0 netmask 255.255.255.240

在这种情况下，您甚至不需要外部主机的对象组，但我这样做只是为了保持一致。

Question 2

您可以使用static1 对 1 映射 IP。如下所示：

static (inside,outside) 1.2.3.1 192.168.0.1 netmask 255.255.255.255
static (inside,outside) 1.2.3.2 192.168.0.2 netmask 255.255.255.255
static (inside,outside) 1.2.3.3 192.168.0.3 netmask 255.255.255.255

_{（如果映射像示例一样有序，则可以将其压缩）}

然后有一个访问列表，例如：

access-list Outside_In ext permit tcp any any eq 21
access-list Outside_In ext permit tcp any any eq 25
access-list Outside_In ext permit tcp any any eq 53

access-group Outside_In in int Outside

警告！这将向所有映射 IP 打开所有端口。如果您的所有服务器都需要这些端口，那么配置会快得多。

_{（显然，更改事物的名称以适合您的网站）}

Answer