強制 Cisco ASA 更改源埠 NAT

我有 2 台設備，一台 Cisco ASA，後面還有另一台設備。Cisco 和其他設備都有 IPsec 隧道，但到不同的位置。我需要確保其他設備的源埠在 NAT 時不是 UDP-500，因為它與 Cisco IPsec 服務的埠相同，因此我們看到了一個問題，即回複數據包的目的地是其他設備擊中 ASA。

根據思科關於 NAT 的常見問題解答 ( http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/26704-nat-faq-00.html )，它保留了預設情況下可能的埠，基於“問。配置 PAT（重載）時，每個內部全域 IP 地址可以創建的最大轉換數量是多少？”

問：如何強制所有 PAT 映射使用源埠 > 1024？

或者，如何強制 ASA 忽略來自特定 IP 地址的 IPsec 數據包，將它們視為普通 NAT 數據包並將它們轉發回內部設備？

在 linux iptables 我會使用類似的東西： iptables -t nat -A POSTROUTING -o eth0 -p udp -j SNAT –to-source xxxx:1024-30000

通過另一種方法解決了這個問題，禁用 Cisco 上與內部設備通信的 IP 的 IPsec 訪問。通過控制平面訪問列表做到這一點：

ciscoasa(config)# access-list FILTER-VPN deny ip x.x.x.x y.y.y.y any

ciscoasa(config)# access-list FILTER-VPN permit ip any any

ciscoasa(config)# access-group FILTER-VPN in interface outside control-plane

（來源： https: //supportforums.cisco.com/discussion/12001786/restrict-certain-ip-addresses-establishing-ipsec）

引用自：https://serverfault.com/questions/646036