我有一台 Cisco ASA-5505 防火墙,当前配置为共享我们的互联网连接并对我的 LAN 进行 NAT,以及将端口 443 转发到内部机器。
我需要将端口 2222 转发到第二内部机器,我遇到了一些麻烦。我的理解是,数据包通常会转发到具有以下规则的机器:
static (inside,outside) [Public IP] [Internal IP] netmask 255.255.255.255
但是,当我尝试添加其中两条规则时,它们相互冲突。
我尝试添加像这样的特定于端口的规则:
static (inside,outside) tcp interface 443 [internal IP 1] 443 netmask 255.255.255.255
static (inside,outside) tcp interface 2222 [internal IP 2] 2222 netmask 255.255.255.255
但随后两个端口都被过滤了(根据远程机器的 nmap)。
我的访问列表规则目前如下所示:
access-list outside-in line 1 extended permit tcp any host [public IP] eq 443
access-list outside-in line 2 extended permit tcp any host [public IP] eq 2222
有人可以提供给我一组静态和访问列表规则,将端口 443 转发到一台机器,将端口 2222 转发到另一台机器吗?
编辑:我应该提一下,不幸的是,我只能通过 telnet 访问此 ASA - 我不能使用 ASDM。
答案1
首先,根据您所运行的代码级别,可能会存在一些差异......
您的旧静态 NAT 规则与将端口从单个 WAN IP 拆分为多个内部 IP 所需的新规则之间存在差异。
您可以从思科处获取有关如何执行此操作的详细信息:http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/nat_objects.html
Youtube 还可以帮助视觉学习者。请看此处:
答案2
在您的static
规则中,不要使用interface
。请改用您的公共 IP。