ASA端口映射问题

kai199418 · 发表于 2017-5-24 17:16:19

最近我拿到一个ASA5508 是9.5.2版本的防火墙，以前都是8.x的防火墙，配置命令完全不一样，
9.X的版本的防火墙干什么都用object ，但是我按照官网9.x向导做了端口映射，但就是不成功。
把内部server的一个端口映射到公网。
内部server ip : 10.61.2.98 公网ip：218.2.177.120
想在公司外访问这个server的8081端口。
object network intelserver
host 10.61.2.98

nat (inside,outside) static 218.2.177.120 service tcp 8081 8081

access-list outside extended permit tcp any object intelserver eq 8081
access-group outside in interface outside

哪位大神能看到我这配置有什么错误吗
或者发我邮箱里：911077046@qq.com

Bourne.Zhang · 发表于 2017-5-24 17:16:20

你外网映射给内部服务器的IP是120的话，不同于outside接口的IP，那你需要在上一层节点，把路由指过来。就是在你的outside接口对应的路由器那里，写静态 ip route 218.2.177.120 255.255.255.255 218.2.177.116

Bourne.Zhang · 发表于 2017-5-24 17:52:43

你ASA的outside接口IP是多少？

Bourne.Zhang · 发表于 2017-5-24 17:52:48

你ASA的outside接口IP是多少？

kai199418 · 发表于 2017-5-25 11:46:17

Bourne.Zhang 发表于 2017-5-24 17:52
你ASA的outside接口IP是多少？

218.2.177.116，供应商给的公网IP是 120-127

kai199418 · 发表于 2017-5-25 11:46:22

Bourne.Zhang 发表于 2017-5-24 17:52
你ASA的outside接口IP是多少？

218.2.177.116，供应商给的公网IP是 120-127

Bourne.Zhang · 发表于 2017-5-25 14:00:39

新版本的ASA取消了以前默认的arp响应

Marvel · 发表于 2017-5-25 16:36:52

本帖最后由 Marvel 于 2017-5-25 16:44 编辑

object network server
host 10.61.2.98

object network server-static
host 218.2.177.120

object network server
nat (inside,outside) static server-static

object-group service 8081 tcp
port-object eq 8081

access-list outside extended permit tcp any host 10.61.2.98 object-group 8081
access-list DMZ0 extended permit ip host 10.61.2.98 any
access-list DMZ0 extended permit icmp host 10.61.2.98 any echo-reply
access-list inside extended permit ip any host 10.61.2.98
access-list outside extended permit tcp any host 10.61.2.98
按道理來講，不用那個8081的object應該也能出去，最後面這4條，你一條一條測唄，我也不清楚你的環境，應該沒有錯，不過你的route inside和route outside不要寫錯，建議你用adsm去配置，挺方便的。

账号		自动登录	找回密码
密码			论坛注册

[求助] ASA端口映射问题

最佳答案

评分

客服中心

投诉建议