在我的基础架构中,我在公共 IP 地址上对服务器进行了网络地址转换。
请注意,可以从任何外部网络访问该服务器。
我的访问规则很好。
我的问题来自内部网络,我无法访问这个公共 IP,因为默认情况下所有流量都会转换到外部接口。
有人能告诉我这一点吗?
谢谢
答案1
如果您已经让 NAT 正常工作,则添加same-security-traffic permit intra-interface到您的配置中将启用 Hairpin NAT(有时称为 Loopback 或 inside-inside)。
笔记:
- 这将允许具有相同安全级别的接口之间的流量;如果没有它,您只能从较高级别转到较低级别的网络(有状态),因此启用此功能可能会存在安全隐患,具体取决于您现在的环境设置方式。
- 所有到该服务器的流量都将通过您的 ASA 传输。这可能是一个瓶颈。如果您拥有“Security Plus”许可证,您的 Eth0/0 和 0/1 是千兆端口。其他 3 个端口始终限制为 100Mb,没有许可证的所有 5 个端口也是如此。