取消
显示结果 
搜索替代 
您的意思是: 
cancel
6297
查看次数
6
有帮助
5
回复

asa 8.4端口映射 acl问题

fishlonely
Level 1
Level 1
8.4版本:做的是外网端口映射 ,acl里如果最后一条不加,就不能访问。
但同样的版本号其他的机子,最后条不加,能正常访问 ,请大神们指导下。
access-list out2in line 1 extended permit tcp any host *.*.*.* eq www
access-list out2in line 2 extended permit tcp any host *.*.*.* eq ftp
access-list out2in line 3 extended permit tcp any host *.*.*.* eq smtp
access-list out2in line 4 extended permit tcp any host *.*.*.* eq 8008
access-list out2in line 5 extended permit tcp any host *.*.*.* eq 8000
access-list out2in line 6 extended permit tcp any host *.*.*.* eq 3389
access-list out2in line 8 extended permit ip any any
5 条回复5

jingjian
Spotlight
Spotlight
8.4版本NAT配置有重大改变,因此ACL需要放行实际的IP地址即没有转换的地址。
8.4之前的版本,需要放行转换之后的地址
因为前面的策略都没有匹配,只匹配了最后一条策略
你把ACL更改成实际地址就可以访问了

fortune
VIP Alumni
VIP Alumni
你的ACL 后面的HOST 是内网地址哦,不是公网IP 哦,

XuLei18879
Level 1
Level 1
arvinjing 发表于 2017-12-8 10:22
8.4版本NAT配置有重大改变,因此ACL需要放行实际的IP地址即没有转换的地址。
8.4之前的版本,需要放行转换 ...

对,对,这个变化太坑了,不过放转换后的地址更容易理解一些

siumem
Level 1
Level 1
估计楼主写的是outside侧的公网IP,改成内网服务器的实地址试试。

fishlonely
Level 1
Level 1
谢谢楼上的。是要写内网的ip和端口号
还请问个问题 如何配置 在内网用公网的ip 来访问内网服务器,
在网上搜了下 都不行
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接