已解决: 求教asa5512 内网端口映射问题[asa版本8.6]

inbucus · ‎05-31-2017

工作需要把工作机的10086端口映射出去，之前接触的都是8.3以前的设备，没写过新的。照着手册和网上的文章添加了如下的命令，可是访问不通。
bject network web-172
host 192.168.172.163
nat (Inside,Outside) static interface service tcp 10086 10086
access-list out-web permit tcp any host 192.168.172.163 eq 10086
access-group out-web in int Outside
show xlate后显示已经映射成功了
TCP PAT from inside:192.168.172.163 10086-10086 to outside:210.76.A.X 10086-10086
flags sr idle 0:00:49 timeout 0:00:00
如果不映射端口，直接把163的ip映射成其它公网ip（公司有1个多余的公网ip）出去就没问题，请教一下这是为什么？需要怎么更改才能将163的端口成功映射到公网ip上？

fortune · ‎05-31-2017

映射是没有错的，这样子，你拿一台笔记本接outside接口，模拟外网访问，如果能够访问这个端口证明是ISP 问题，要换其他端口映射来看看

在原帖中查看解决方案

fortune · ‎05-31-2017

映射是没有错的，这样子，你拿一台笔记本接outside接口，模拟外网访问，如果能够访问这个端口证明是ISP 问题，要换其他端口映射来看看

Mansur · ‎05-31-2017

1对1 nat，映射所有端口，具体开放哪些由ACL决定：
nat (Inside,Outside) static + 公网ip
端口映射这么写：
nat (inside,outside) static 公网ip service tcp 10086 10086
你的访问不通是从内网访问还是外网？
内网的话，只支持1对1 nat，并且要用域名，这种情况下1对1nat后面最好加关键字dns：
nat (Inside,Outside) static x.x.x.x dns

inbucus · ‎05-31-2017

访问不通从外网无法通过端口映射访问到内网机器。
我就是按照下面这个写的，只不过公网ip如果换成outside的ip就不成功，如果换成别的公网ip就没问题。
nat (inside,outside) static 公网ip service tcp 10086 10086