asa防火墙，求解

沉机

在路上 发表于 2013-2-3 21:03
在ASA上做静态地址和端口转换，同时如果用到某个协议（比如TCP 80端口)要放行这个端口.

是static吗，端口转换怎么做，我那两条命令是 nat (inside) 1 0 0    global (outside) 1 interface。还望大神不吝赐教。

在路上

沉机 发表于 2013-2-4 00:23
是static吗，端口转换怎么做，我那两条命令是 nat (inside) 1 0 0    global (outside) 1 interface。还望 ...

是的，用static命令。比如R2 telnet R1 在asa可以这样做：

asa(config)# access-list kkk permit tcp any host 12.12.12.10 eq 23 ／建立外到内ACL
asa(config)# access-group kkk in interface outside ／ACL加载到outside接口上
asaconfig)# static (inside,outside) 12.12.12.10 11.11.11.1 ／建立静态转换
可以用接口代替12.12.12.10 ：
asaconfig)# static (inside,outside) interface 11.11.11.1
这样R2 telnet 12.12.12.10 就是telnet R1 。

值得注意的是，static 必须和 access-list 一起使用，返回数据包不受 asa 的 nat（inside）和 global(outside)的控制，也就是说，asa不配置nat和global，同样数据包一样可以返回。

沉机

gouerhuang 发表于 2013-2-3 21:01
做了转换，里面的地址被屏蔽掉了吧...只能ping global（outside）地址了吧？？

嗯，我做了static静态映射，只能ping映射的ip

沉机

在路上 发表于 2013-2-4 12:11
是的，用static命令。比如R2 telnet R1 在asa可以这样做：

asa(config)# access-list kkk permit tcp  ...

我配global和nat，用global指定ip范围是12.12.12.10，但R2ping12.12.12.10不通，用了asaconfig)# static (inside,outside) 12.12.12.10 11.11.11.1 后，R2可以ping通12.12.12.10。麻烦大神，能解惑？

在路上

沉机 发表于 2013-2-5 00:59
我配global和nat，用global指定ip范围是12.12.12.10，但R2ping12.12.12.10不通，用了asaconfig)# static  ...

global和nat，成双成对，只是解决内网访问外网的问题，和静态地址转换是不同的概念和作用。
我们平时说的NAT（路由器和ASA）指的是内网地址转换成外网地址，让内网能访问外网。静态地址转换（路由器和ASA）指的是能让外网访问内网，和你做NAT时配置的外网地址范围无关。

沉机

在路上 发表于 2013-2-5 02:09
global和nat，成双成对，只是解决内网访问外网的问题，和静态地址转换是不同的概念和作用。
我们平时说的 ...

那为什么配了global和nat，r2ping不通r1，是不是防火墙过滤掉什么。

在路上

沉机 发表于 2013-2-5 02:26
那为什么配了global和nat，r2ping不通r1，是不是防火墙过滤掉什么。

     静态地址转换不受global和nat影响，r2不能直接ping r1，这是防火墙的机制，只能ping外网口地址，外网口地址转换成r1的地址。