已解决: ASA9.1端口映射

xunil · ‎06-14-2016

Cisco Adaptive Security Appliance Software Version 9.1(2)
Device Manager Version 7.1(3)
Compiled on Thu 09-May-13 16:20 PDT by builders
System image file is "disk0:/asa912-smp-k8.bin"
Config file at boot was "startup-config"
SW-Yantai-UTM up 13 days 13 hours
Hardware: ASA5515, 8192 MB RAM, CPU Clarkdale 3059 MHz, 1 CPU (4 cores)
ASA: 4096 MB RAM, 1 CPU (1 core)
Internal ATA Compact Flash, 8192MB
防火墙信息如上：
*******************************************************************
求一个好用的端口映射的实例
*******************************************************************
如：把outside口的2300端口映射到内网192.168.10.1的23号端口上，如何来做？
我找过文档，做完没生效！

yanzha4 · ‎06-14-2016

给你一个配置实例吧，各种情况都有了，自己参考吧
Configure the ASA for SMTP Mail Server Access in DMZ, Inside, and Outside Networks
http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/118958-configure-asa-00.html

在原帖中查看解决方案

yanzha4 · ‎06-14-2016

给你一个配置实例吧，各种情况都有了，自己参考吧
Configure the ASA for SMTP Mail Server Access in DMZ, Inside, and Outside Networks
http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/118958-configure-asa-00.html

one-time · ‎06-14-2016

感谢您的提问，会有小伙伴为您解答的！:):handshake

duxiulei · ‎06-14-2016

试一下这个配置：
object network 192.168.10.1
host 192.168.10.1
object network 192.168.10.1
nat (inside,outside) static interface service tcp 23 2300
access-list out extended permit tcp any host 192.168.10.1 eq 23

xunil · ‎06-14-2016

duxiulei 发表于 2016-6-15 12:03
试一下这个配置：
object network 192.168.10.1
host 192.168.10.1

object network core-switch
host 192.10.82.1
object network core-switch
nat (Inside,Outside) static interface service tcp telnet 2300
inside和outside放向的telnet我都放行了，可是telnet outside口地址的2300，访问不了192.10.82.1的telnet

duxiulei · ‎06-14-2016

xunil 发表于 2016-6-15 12:44
object network core-switch
host 192.10.82.1
object network core-switch

你可以测试一下 IP对IP一对一映射或者别改端口号 23 对应23 试试，前提是内网通过telnet可以访问。

fortune · ‎06-15-2016

access-list ext out permit tcp any host 192.168.10.1 eq 2300
access-list ext out permit ip any host 192.168.10.1 eq 23
access-group out in in out
access-group out in in in
试试

ilay · ‎06-15-2016

xunil 发表于 2016-6-15 12:44
object network core-switch
host 192.10.82.1
object network core-switch

3楼配置示例是没有问题的。
你可以通过show xlate 查看当前的映射关系
此外需要在outside接口上面绑定一个 permit tcp any host 192.10.82.1 eq 23的acl，
提醒以下两点
1、你在内网使用的是192.10.x.x的地址，这是公网的ip地址段，不建议在内网使用。
2、建议开启log功能，如果不能访问，可以将outside接口上的acl全部去掉，在外部发起telnet会话，查看asa的log信息，可以有助于判断原因。
附：asa9.1 nat配置文档。
http://www.cisco.com/c/en/us/td/docs/security/asa/asa91/configuration/firewall/asa_91_firewall_config/nat_objects.html#92074
http://www.cisco.com/c/en/us/support/security/asa-5500-series-next-generation-firewalls/products-installation-and-configuration-guides-list.html

xunil · ‎06-16-2016

gengchunlin 发表于 2016-6-16 10:44
3楼配置示例是没有问题的。
你可以通过show xlate 查看当前的映射关系
此外需要在outside接口上面绑定一 ...

谢谢，那个内网地址是韩国人配置的！是他们规划好了的

xunil · ‎06-16-2016

yanzha4 发表于 2016-6-16 11:11
给你一个配置实例吧，各种情况都有了，自己参考吧
Configure the ASA for SMTP Mail Server Access in ...

谢谢了！我查看一下

wjxiaobu555 · ‎06-16-2016

支持三楼的
object network inside
host 192.10.82.1
object network nat
nat (Inside,Outside) static interface service tcp telnet 2300