工作中或者项目中ASA 除了常见的内网host上公网做NAT ,公网通过NAT映射访问内网服务器这两种外,还有可能以为安全需求或者其他原因,需要设置内网用户访问内网对外映射服务器也通过公网IP访问,而非直接内网转发的情况,今天写一个案例,希望对大家有帮助。
ASA关键配置 配置如下:
object network obj-192.168.1.50
host 192.168.1.50
!
object network obj-192.168.5.5
host 192.168.5.5
!
object network obj-203.40.40.5
host 203.40.40.5
!
nat (inside,DMZ) source static obj-192.168.1.50 interface destination static
obj-203.40.40.5 obj-192.168.5.5
对于低版本的ASA (825 以下)配置如下:
access-list INT-DMZ-IN extended permit ip host 192.168.1.50 host 203.40.40.5
static (inside,DMZ) interface access-list INT-DMZ-IN
!
access-list INT-DMZ-IN extended permit ip host 192.168.5.5 host 192.168.5.1
static (DMZ,inside) 203.40.40.5 access-list INT-DMZ-IN
show nat、show xlate 来查看NAT 信息