Cisco ASA-5505 端口转发

tag-icon tag-icon cisco nat port-forwarding cisco-asa
Cisco ASA-5505 端口转发

我有一台 Cisco ASA-5505 防火墙,当前配置为共享我们的互联网连接并对我的 LAN 进行 NAT,以及将端口 443 转发到内部机器。

我需要将端口 2222 转发到第二内部机器,我遇到了一些麻烦。我的理解是,数据包通常会转发到具有以下规则的机器:

static (inside,outside) [Public IP] [Internal IP] netmask 255.255.255.255

但是,当我尝试添加其中两条规则时,它们相互冲突。

我尝试添加像这样的特定于端口的规则:

static (inside,outside) tcp interface 443 [internal IP 1] 443 netmask 255.255.255.255
static (inside,outside) tcp interface 2222 [internal IP 2] 2222 netmask 255.255.255.255

但随后两个端口都被过滤了(根据远程机器的 nmap)。

我的访问列表规则目前如下所示:

access-list outside-in line 1 extended permit tcp any host [public IP] eq 443
access-list outside-in line 2 extended permit tcp any host [public IP] eq 2222

有人可以提供给我一组静态和访问列表规则,将端口 443 转发到一台机器,将端口 2222 转发到另一台机器吗?

编辑:我应该提一下,不幸的是,我只能通过 telnet 访问此 ASA - 我不能使用 ASDM。

答案1

首先,根据您所运行的代码级别,可能会存在一些差异......

您的旧静态 NAT 规则与将端口从单个 WAN IP 拆分为多个内部 IP 所需的新规则之间存在差异。

您可以从思科处获取有关如何执行此操作的详细信息:http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/nat_objects.html

Youtube 还可以帮助视觉学习者。请看此处:

http://www.youtube.com/watch?v=ZvjrN9lYtsI

答案2

在您的static规则中,不要使用interface。请改用您的公共 IP。

相关内容