我有一个如下配置的 ASA;
内部:192.168.0.254/24 外部:10.0.0.1/29(路由至 ASA)
global (outside) 1 interface
global (outside) 2 10.0.0.2
nat (inside) 1 0.0.0.0 0.0.0.0
nat (inside) 2 192.168.0.50 255.255.255.255
static (inside,outside) 10.0.0.2 192.168.0.5 netmask 255.255.255.255
如您所见,有一个默认 NAT 规则,用于将客户端在出站时通过 NAT 转换为外部 IP。还有一条特定规则用于将内部主机 192.168.0.50/32 映射到 10.0.0.2(另一个外部 IP)。最后有一个 10.0.0.2 的静态映射。
我正在尝试输入以下静态 NAT 规则,将外部 IP 10.0.0.1 端口转发到内部主机 192.168.0.5;
# static (inside,outside) tcp interface 555 192.168.0.5 555 netmask 255.255.255.255
ERROR: duplicate of existing static
inside:192.168.0.5 to outside:10.0.0.2 netmask 255.255.255.255
我不明白这是怎么回事。有人能解释一下吗?
答案1
static 命令双向有效:来自 10.0.0.2 的流量被转换为 192.168.0.5,来自 192.168.0.5 的流量被转换为来自 10.0.0.2 的流量。您不能将 192.168.0.5 映射到外部接口上的另一个地址,例如 10.0.0.2 。
您可以使用带有 acl 的 nat 命令来转发特定地址上的特定端口。
例如,如果您希望来自 192.168.0.5 的传出 smtp 流量被视为来自 10.0.0.2(传出流量的源 nat):
access-list outfrom_10.0.0.2 extended permit tcp host 192.168.0.5 any eq smtp
nat (inside) 2 access-list outfrom_10.0.0.2
然后,如果您希望将传入 10.0.0.1 的 http 流量转发到 192.168.0.5,您可以添加此
static (inside,outside) tcp 10.0.0.1 http 192.168.0.5 http netmask 255.255.255.255
(当然你必须删除现有的静态(内部,外部)10.0.0.2 192.168.0.5 网络掩码 255.255.255.255)