我有一台 ASA (A),带有一组公有 IP (A1..A6)。我还有另一台带有公有 IP (S1) 的服务器 S。
我希望所有到 A2:22 的流量都通过 NAT(转发)到 S1:22。(SSH 只是此处的示例)如果可能的话,我希望流量甚至不接触内部接口。
(我怎样才能做到这一点?
我试过:
access-list outside_access_in line 26 extended permit tcp any host S1 eq ssh
access-list outside_access_in line 26 extended permit tcp any host S1 eq ssh
static (outside,outside) A2 S1 netmask 255.255.255.255 tcp 0 0 udp 0
但是,根据数据包跟踪器,这总是会因外部接口上的隐式传入丢弃规则而失败。我甚至尝试使用“放下所有裤子”的 any:any 规则来满足它,但没有成功。
我知道这还不足以真正发挥作用。但它真的能起作用吗?
答案1
您需要确保允许接口内流量。
sh run | i same-security-traffic
如果不是,则发出以下命令:
same-security-traffic permit intra-interface
它将允许流量从同一接口(发夹环)到达和离开防火墙。
此外,由于流量不会经过任何接口,因此您的静态 nat 没有必要。