Compreensão NAT estática ASA

Question

Compreensão NAT estática ASA

#1 resposta do (3 votos)

2

Eu tenho um ASA configurado da seguinte forma:

Dentro de: 192.168.0.254/24 Fora: 10.0.0.1/29 (Isto é encaminhado para o ASA)

global (outside) 1 interface
global (outside) 2 10.0.0.2
nat (inside) 1 0.0.0.0 0.0.0.0
nat (inside) 2 192.168.0.50 255.255.255.255

static (inside,outside) 10.0.0.2 192.168.0.5 netmask 255.255.255.255

Como você pode ver, há uma regra de NAT padrão para os clientes NAT para o IP externo quando eles saem. Há também uma regra específica para mapear o host interno 192.168.0.50/32 para 10.0.0.2, um IP externo diferente. Finalmente, há um mapeamento estático para 10.0.0.2 no final.

Estou tentando inserir a seguinte regra NAT estática para redirecionar a porta no IP externo 10.0.0.1 para o host interno 192.168.0.5;

# static (inside,outside) tcp interface 555 192.168.0.5 555 netmask 255.255.255.255
ERROR: duplicate of existing static
  inside:192.168.0.5 to outside:10.0.0.2 netmask 255.255.255.255

Eu não entendo o que está acontecendo aqui. Alguém pode explicar por favor?

nat cisco-asa

por jwbensley 28.01.2012 / 11:34

1 resposta

Tags nat cisco-asa

Não é possível VM específica do vMotion É melhor configurar o KeepAlive para 1 segundo em vez de desligá-lo todos juntos?

score 3 · Accepted Answer

O comando estático funciona nos dois sentidos: o tráfego proveniente de 10.0.0.2 é traduzido como 192.168.0.5 e o tráfego de 192.168.0.5 é traduzido de 10.0.0.2. Você não pode mapear 192.168.0.5 para outro endereço na interface externa, como 10.0.0.2.

Você pode usar o comando nat com acl para encaminhar portas específicas em endereços específicos.

Por exemplo, se você quiser que o tráfego smtp de saída de 192.168.0.5 seja visto a partir de 10.0.0.2 (fonte nat para tráfego de saída):

access-list outfrom_10.0.0.2   extended permit tcp host 192.168.0.5 any eq smtp
nat (inside) 2 access-list outfrom_10.0.0.2

E, se você quiser que o tráfego HTTP de entrada para 10.0.0.1 seja encaminhado para 192.168.0.5, você pode adicionar isso

static (inside,outside) tcp 10.0.0.1 http 192.168.0.5 http netmask 255.255.255.255

(é claro que você tem que remover a máscara de rede estática existente (dentro, fora) 10.0.0.2 192.168.0.5 255.255.255.255)