ASA 靜態 NAT 理解

我有一個配置如下的 ASA；

內部：192.168.0.254/24 外部：10.0.0.1/29（路由到 ASA）

global (outside) 1 interface
global (outside) 2 10.0.0.2
nat (inside) 1 0.0.0.0 0.0.0.0
nat (inside) 2 192.168.0.50 255.255.255.255

static (inside,outside) 10.0.0.2 192.168.0.5 netmask 255.255.255.255

如您所見，有一條預設的 NAT 規則可讓 NAT 客戶端在外部 IP 退出時使用它們。還有一個特定的規則將內部主機 192.168.0.50/32 映射到 10.0.0.2，一個不同的外部 IP。最後還有一個 10.0.0.2 的靜態映射。

我正在嘗試輸入以下靜態 NAT 規則，將外部 IP 10.0.0.1 上的埠轉發到內部主機 192.168.0.5；

# static (inside,outside) tcp interface 555 192.168.0.5 555 netmask 255.255.255.255
ERROR: duplicate of existing static
 inside:192.168.0.5 to outside:10.0.0.2 netmask 255.255.255.255

我不明白這裡發生了什麼。有人可以解釋一下嗎？

靜態命令雙向工作：來自 10.0.0.2 的流量被轉換為 192.168.0.5 和來自 192.168.0.5 的流量從 10.0.0.2 轉換。您不能將 192.168.0.5 映射到外部介面上的另一個地址，例如 10.0.0.2 。

您可以使用帶有 acl 的 nat 命令來轉發特定地址上的特定埠。

例如，如果您希望將來自 192.168.0.5 的傳出 smtp 流量視為來自 10.0.0.2（傳出流量的源 nat）：

access-list outfrom_10.0.0.2   extended permit tcp host 192.168.0.5 any eq smtp
nat (inside) 2 access-list outfrom_10.0.0.2

然後，如果您希望將傳入 10.0.0.1 的 http 流量轉發到 192.168.0.5，您可以添加此

static (inside,outside) tcp 10.0.0.1 http 192.168.0.5 http netmask 255.255.255.255

（當然，您必須刪除現有的靜態（內部，外部） 10.0.0.2 192.168.0.5 網路遮罩 255.255.255.255 ）

引用自：https://serverfault.com/questions/354523