我正在尝试在 ASA 5505 上设置 NAT 转换,但是添加后新的公共 IP 地址实际上从未可用。我确信我做了一些愚蠢的事情,但到目前为止,我还没有发现问题。基本上,我试图映射 XX.XX.115.195 => 192.168.125.7。XX.XX.115.194 是防火墙的公共 IP,可以访问,但 115.195 似乎从未被获取。我继承了原始配置,因此可能是其他规则之一阻止了这种情况的发生。我已将我认为相关的部分包含在以下部分中。
下面是我添加的具体规则。我已确认我能够通过常用端口和协议从防火墙内部访问 125.7 服务器,但从外部访问公共 115.195 则没有任何响应。
静态(外部,内部) 192.168.125.7 XX.XX.115.195 网络掩码 255.255.255.255
ASA 版本 7.2(4) ! 接口 Vlan1 nameif 内部 安全级别 100 IP地址 192.168.125.1 255.255.255.0 ! 接口 Vlan2 nameif 外部 安全级别 0 IP 地址 XX.XX.115.194 255.255.255.248 ! 访问列表从外向内扩展允许 tcp 任何主机 XX.XX.115.194 eq 44000 访问列表从外到内扩展允许 tcp 任何主机 XX.XX.115.194 eq https 访问列表从外到内扩展允许 tcp 任何主机 XX.XX.115.194 eq 4000 访问列表 inside_nat0_outbound 扩展允许 ip 任何 192.168.125.192 255.255.255.192 nat (内部) 0 访问列表 inside_nat0_outbound nat (内部) 1 0.0.0.0 0.0.0.0 静态(内部,外部)tcp 接口 44000 192.168.125.15 44000 网络掩码 255.255.255.255 静态(内部,外部)tcp 接口 https 192.168.125.15 https 网络掩码 255.255.255.255 静态(内部,外部)tcp 接口 4000 192.168.125.15 4000 网络掩码 255.255.255.255 静态(外部,内部) 192.168.125.7 XX.XX.115.195 网络掩码 255.255.255.255 访问组从外到内接口外部
答案1
你的 NAT 语句被颠倒了……应该是
static (inside,outside) XX.XX.115.195 192.168.125.7 netmask 255.255.255.255
完成此操作后,您的 ACL 需要允许入站流量
答案2
您是否添加了匹配的 ACL 以允许该 IP 地址的入站流量?
看起来您有针对 xx115.194 地址的 ACL,以允许 https/ports 44000/4000 入站。您需要为 xx115.195 地址上要允许的端口添加匹配的 ACL