1 个已接受解答
已接受的解答
shanghaiyunji 发表于 2016-8-10 16:10
您好
object network WWW
host 192.168.2.2
1.检查ACL
2.公网IP如果没有备案,默认80口是禁访问的,可用高位端口测试
3.ASA本身就有检测命令可以测试验证,搜索关键字packet-input
shanghaiyunji 发表于 2016-8-10 16:10
您好
object network WWW
host 192.168.2.2
1.检查ACL
2.公网IP如果没有备案,默认80口是禁访问的,可用高位端口测试
3.ASA本身就有检测命令可以测试验证,搜索关键字packet-input
YilinChen 发表于 2016-8-9 16:39
端口映射和PAT可以同时共用一个公网IP;
静态一对一NAT不可以;
按你的说法,内网有3台服务器都要做NAT, ...
现在9.2版本配置的不行,当我做好PAT后,又哪一台服务器做静态映射
hostname(config)# object network myWebServ
hostname(config-network-object)# host 10.1.2.27
hostname(config-network-object)# nat (inside,outside) static 209.165.201.10 service tcp 5000 5000
最后一条nat (inside,outside) static 209.165.201.10 service tcp 5000 5000敲下去是就报错了
以前用PIX倒是可以实现这样的要求,不知道升级到9.X之后是不是安全机制问题导致不能配置,还是需要另外的配置命令
shanghaiyunji 发表于 2016-8-9 21:59
现在9.2版本配置的不行,当我做好PAT后,又哪一台服务器做静态映射
hostname(config)# object network m ...
亲,端口映射呀,不是静态映射,你有多个公网IP地址么?
配置举例:
/30 公网IP下,端口映射+PAT (服务器建议处于DMZ区域)
object network WWW
host 192.168.2.2
nat (inside,outside) static interface service tcp www www
object network INSIDE
range 192.168.2.3 192.168.2.254
nat (inside,outside) dynamic interface
access-list WWW extended permit tcp any host 192.168.2.2 eq www
access-group WWW in interface outside
YilinChen 发表于 2016-8-10 15:10
亲,端口映射呀,不是静态映射,你有多个公网IP地址么?
配置举例:
您好
object network WWW
host 192.168.2.2
nat (inside,outside) static interface service tcp www www
以上这条命令+PAT是可以敲进去,但是好像不生效,我从外网访问outside interface接口IP 没法访问到服务器
YilinChen 发表于 2016-8-10 17:11
1.检查ACL
2.公网IP如果没有备案,默认80口是禁访问的,可用高位端口测试
3.ASA本身就有检测命令可以测 ...
测试的是5000端口,在防火墙上这样配置不行,后来没办法就把NAT配置在防火墙前面路由器上就可以用了。我再试试,然后再测试看看
