我们有一台 ASA 5505,其内部接口为 10.22.33.0/24,外部接口为 xxxx/26。内部 IP 显然是私有的,而外部 IP 是公共的。
我已经能够设置一个 nat 规则,将所有请求路由到具有私有地址 10.22.33.5 的 server1 的一个公共地址。通过添加此规则,它允许 server1 也访问互联网,这很方便。到目前为止一切顺利。
我正在努力做的是允许所有内部 IP 访问互联网。有人知道我该如何实现吗?
答案1
如果使用 Cisco ASDM,您可以选择使用“启动向导”同时保留当前配置。
从主 ASDM 窗口中,选择“向导”和“启动向导...”
选择“修改现有配置”...
逐步完成屏幕操作,直到进入“地址转换”页面。对于您的设置,您需要使用端口地址转换 (PAT)。使用防火墙的外部接口 IP。这意味着所有未明确指定静态 NAT 映射的流量(如您的服务器)都将来自防火墙的外部接口 IP。您可能需要删除现有的 NAT 规则才能使其正常工作。运行向导后重新添加它。
另请参阅本教程。
答案2
问题在于您的防火墙不知道如何将来自内部(专用)网络的流量呈现到外部(公共)网络。当内部 IP 尝试访问外部时,它可能会将“缺少 NAT 转换规则”写入日志。
假设您已经拥有允许它们到外部的 ACL,则需要为所有内部地址设置动态 NAT 规则,以便在外部接口上将其 NAT 到单个公共 IP。首先,您需要设置一个包含要使用的公共 IP 的全局池,然后在内部接口上为您的内部子网设置动态 NAT 规则。这将一次性覆盖其余的内部客户端。
global (OUTSIDE) 1 <public IP> netmask 255.255.255.255
nat (INSIDE) 1 <internal subnet> 255.255.255.0
答案3
首先,请检查您拥有的 Cisco ASA 是哪个版本:
show version | inc Software Version
现在,根据版本,假设以下内容属实
- 外部- 外部接口的名称
- 里面- 内部接口的名称
- 10.20.33.0/24- 子网里面接口属于
- 10.20.33.1- IP 地址里面界面
- A B C D- 内部子网的 IP 地址将被 NAT 到(例如外面界面)
您需要按以下方式配置动态 NAT 条目:
最高可达 8.2:
global (outside) 1 A.B.C.D netmask 255.255.255.255 nat (inside) 1 10.20.33.0 255.255.255.0
8.3 及更高版本:
object network anyname host A.B.C.D object network inside range 10.20.33.2 10.20.33.254 nat (inside,outside) dynamic anyname
就这些。如果您需要任何进一步的帮助,请告诉我。
答案4
ewwhite 的回答是正确的,但不完整。缺少的是网关信息。ASA 不会通过启动向导设置 ISP 网关,即使从 ASA 9.2(2).4 开始也是如此。这很疯狂,因为这样内部主机就无法访问 Internet。
要通过 ASDM 设置网关:
- 登录
- 转到配置->设备设置->路由->静态路由。
- 点击添加按钮(右上角)。出现“添加静态路由”对话框。
- 选择:IP 地址类型:IPv4;接口:外部;网络:obj_any;网关 IP:XXXX
- 分别按“确定”、“应用”和“保存”
几点说明。首先,用 XXXX 替换您的 ISP 网关值。其次,这些说明基于 ASDM 7.3(1)。旧版本的 ASDM 类似,但可能需要进行一些调整。最后,“obj_any”代表 IP 地址 0.0.0.0 和网络掩码 0.0.0.0。如果您没有“obj_any”,请使用 0.0.0.0 0.0.0.0 值。
要通过 CLI 设置网关:
- 使能够
- 配置终端
- 外部路由 0.0.0.0 0.0.0.0 XXXX 1
- 复制运行配置启动配置
和以前一样,用 XXXX 替换网关值。如果您不知道网关,可以通过在本网站。