取消
显示结果 
搜索替代 
您的意思是: 
cancel
7732
查看次数
0
有帮助
7
回复

ASA5525防火墙NAT映射问题,大神指导!

zhaozhou02019
Level 1
Level 1
需求:内网一台服务器的80端口做了目的地址转换(端口映射)后,可以供公网的用户访问【映射的公网IP:80】来访问该服务。现在需要实现内网的用户通过内网PC也可以通过【映射的公网IP:80】来访问。
请大神支招,就是配置不成功。
7 条回复7

zhaozhou02019
Level 1
Level 1
附加配置:
nat (any,inside) source dynamic any outside1-2 destination static outside1-2 192.168.31.55 service 80 80
nat (inside,inside) source dynamic any interface destination static 192.168.31.55 192.168.31.55 service 80 80
请问配置哪里出错了,谢谢!

YilinChen
Spotlight
Spotlight
本帖最后由 YilinChen 于 2020-1-9 17:30 编辑
不应该这样访问,内网用户应该通过内网地址来访问,不应该从防火墙绕一圈再回到防火墙内部;
这是不合理的流量,防火墙本身的安全规则默认就是拒绝这样的流量的;
当然,凡事无绝对,客户是上帝,就算是思科也是会妥协的,虽然心里把甲方爸爸鄙视了一万遍,还是给出解决方案,那就是U-Trun NAT,或者叫Hairpinning NAT.
关键字都告诉你了,网上搜索一下吧

yangyabin
Spotlight
Spotlight
同意楼上关于Hairpinning NAT的解释,也同意这个需求看上去不合理。
补充几点:
1. 问题“就是配置不成功。”的隐含意思是根据某些指导文档配置的,建议也贴出来,方便讨论。
2. 确认一下楼上提供的链接 https://networklessons.com/cisco/asa-firewall/cisco-asa-hairpin-internal-server中的拓扑图是否就是实际场景
3. 从那个数据流看,因为上面的链接看不到完整的内容,就可见内容而已,还是有问题的,就是Web Server回H1的数据包,直接是依靠ARP的,不会回到防火墙。这样的话,防火墙上就是单向的数据流,状态检查会有问题。从逻辑上,强行解决回包问题的方案应该是把源地址也NAT一次,这样Server的回包就会回到防火墙上。
4. 建议在Client,Server,防火墙上都抓一下数据包,可以看得更清楚一点。
最后,最好不要用这样的结构,看不出有什么明显好处。

18653465190
Spotlight
Spotlight
内网的终端访问服务器,不需要在防火墙上做NAT地址转换。

likuo
Spotlight
Spotlight
内网的终端访问服务器就可以了。

fortune
VIP Alumni
VIP Alumni

Lee15166
Level 1
Level 1
本帖最后由 Lee15166 于 2020-2-10 10:02 编辑
这个问题貌似是 NAT 回流,即:内网的设备,通过访问 Server 对外映射的公网IP+端口的方式,访问内网的服务。
我记得这个在 ASA 上是可以做到的。
请参照: http://blog.chinaunix.net/uid-13415174-id-5103362.html
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接