我有一台 ASA 5505,其外部网络的公共 IP 地址为 95.123.234.64/26,内部网络的私有 IP 地址为 10.22.33.0/24。我想将到达 95.123.234.67:80 的任何 TCP 流量重定向到公共 IP 地址 78.123.234.56:22。我不知道这是否重要,但 78.123.234.56 不受 ASA 管理。这可以通过 ASA 5505 实现吗?
答案1
不可以。您可以将端口转发到内部主机,然后使用内部 Web 服务器提供 HTTP 302 重定向。
(附注:想象一下,如果人们开始将端口转发到不在其网络上的远程 IP 的传入连接,会带来哪些安全隐患?)
答案2
您要执行的操作称为发夹,通常在面向内部的接口上执行,但没有理由不能在外部接口上执行,尽管如 javano 所述,这可能会在 Internet 上造成一点混乱。但它不会破坏任何东西,这与您想将不受您控制的 IP 地址通过 NAT 转换为受您控制的 IP 地址不同。
要对 5505 进行发夹,首先必须允许相同的接口流量:
same-security-traffic permit intra-interface
然后你必须更新你的 nat 表:
static (outside,outside) tcp 95.123.234.67 80 78.123.234.56 22 netmask 255.255.255.255
您可能必须更新外部接口访问列表,但这应该可以处理外部流量。
根据 ASA 的操作系统版本,命令会略有不同,但都是可行的。