11.6 思科ASA：配置静态NAT（目的NAT）把服务器映射到公网 （回流问题）、hairpin NAT解决内网通过映射后的公网IP访问内网服务器

11.6 思科ASA：配置静态NAT（目的NAT）把服务器映射到公网 （回流问题）、hairpin NAT解决内网通过映射后的公网IP访问内网服务器

需求：

（1）拓扑

（2）基本配置

interface Ethernet0

 nameif ouside

 security-level 10

 ip address 10.12.6.6 255.255.0.0

!

interface Ethernet1

 nameif dmz

 security-level 50

 ip address 192.168.2.254 255.255.255.0

!

interface Ethernet2

 nameif inside

 security-level 80

 ip address 192.168.1.254 255.255.255.0

！permit any any 访问规则

access-list global_access extended permit ip any any

access-group global_access global

！配置ASDM访问

http server enable

http 0.0.0.0 0.0.0.0 ouside

username admin password admin privilege 15    //创建15级帐户

（3）NAT配置

object network ftpserver

 host 192.168.2.200

object service TCP21

 service tcp destination eq ftp

 nat (ouside,dmz) source static any any destination static interface ftpserver service TCP21 TCP21

ASDM方式配置：

（4）测试

互联网的电脑已经可以通过访问防火墙的公网地址来访问内网dmz区域的服务器。

但inside区域的内网电脑PC1访问FTP 10.12.6.6 21 失败，但是访问FTP 192.168.2.200 21是成功的。

所以此处有回流问题需要处理

（5）配置hairpin NAT解决回流问题：内网通过映射后的公网IP访问内网服务

object network outsideIP

      host 10.12.6.6

 nat (inside,dmz) source static any interface destination static outsideIP ftpserver service TCP21 TCP21

（6）测试：互联网PC与内网PC已经成功通过映射后的公网IP访问内网FTP服务

（7）配置内网PC上网

nat (any,ouside) source dynamic any interface

注意：虽然接口outside与网络主机对象outsideIP代表的ip地址是一样的，

但Destination Address选项里面选择网络主机对象10.12.6.6 ，而不是接口outside。

nat (ouside,dmz) source static any any destination static interface ftpserver service TCP21 TCP21

nat (inside,dmz) source static any interface destination static outsideIP ftpserver service TCP21 TCP21

nat (any,ouside) source dynamic any interface

思科Cisco ASA防火墙（列表、list、全）asalist、防火墙list
http://www.zh-cjh.com/wenzhangguilei/2594.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html