我有一个运行 8.0(3) 的 PIX。
我有一个端口转发,允许外部用户访问我的内部网络上的服务器,设置如下:
static (inside,outside) tcp interface 8080 192.168.168.100 8080 netmask 255.255.255.255
access-list ACLIN extended permit tcp any host xx.xx.xx.135 eq 8080
...这对外部用户有效。但内部网络的用户无法访问http://xx.xx.xx.135:8080,我必须添加什么 ACL 才能允许这样做?
答案1
从面向外部的 NAT IP 地址访问内部主机会增加许多问题。
首先,必须将 PIX/ASA 配置为允许这种类型的通信。通常默认情况下不允许。
其次,它可能导致许多不对称路由问题。例如,NAT 遍历不会更改传入数据包的源 IP 地址。因此可能发生的情况是 H1(内部主机)向 ES1(外部服务器 IP/端口)发出请求。在防火墙上,NAT 将目的地从 ES1 更改为 IS1(内部服务器 IP/端口)并转发流量。IS1 处理请求,发现 H1 在本地网络上,并将其转发到那里。H1 拒绝连接,因为它建立了与 ES1 的连接,并期望该端口上有来自 ES1 的流量,而不是 IS1。
在网上搜索“Cisco ASA hairpin”,您会在 Cisco 网站上找到大量关于解决这些问题的讨论,以及大量与 Cisco 无关的参考资料。例如: https://supportforums.cisco.com/thread/1003238