Port-Forwarding

使用 ASA 5505 埠轉發將流量路由到 X 台機器

  • July 16, 2011

我被要求將我們的 ASA 5505 配置為將流量從一個外部 IP(我們稱之為 208.X)路由到任意數量的內部靜態 IP。我被告知要考慮埠轉發/映射。鑑於我對任何與網路相關的事情仍然或多或少一無所知,我無法判斷我在此站點或 Google 上找到的任何資訊是否相關。讓我們從頭開始。

  1. 我知道有多種方法可以做我需要的事情。使用 ASA 通過多個埠進行路由是最佳方式嗎?
  2. 如果上述答案是肯定的…這是要添加到打開(例如)埠 678 和 789 的適當配置嗎?假設靜態 IP 已配置。
訪問列表 OUTSIDE_IN 擴展許可 tcp 任何主機 208.X eq www
訪問列表 OUTSIDE_IN 擴展許可 tcp 任何主機 208.X eq 678
訪問列表 OUTSIDE_IN 擴展許可 tcp 任何主機 208.X eq 789
外部介面中的訪問組 OUTSIDE_IN

我覺得我在朝著錯誤的方向前進。在哪裡定義埠 678 流量進入內部 IP A,而埠 789 流量進入內部 IP B?

謝謝你的幫助。再次,非常感謝任何教育。

你已經成功了一半:)

通常,NATing 防火牆在介面之間移動流量有兩個基本要求。在最嚴格的意義上還有更多,但以下兩個是最常遇到的。第一個是訪問控制,第二個是翻譯規則。這種範例對於大多數防火牆都是正確的——即使它們沒有在有限的 GUI(SOHO/消費者防火牆/路由器)中公開它——GUI 可能會在下面為你做這件事。但是,在 CLI 上,您必須注意配置訪問控制和轉換規則。

如果您的範例已使用訪問列表配置了事物的訪問控制方面。OUTSIDE_IN 訪問列表綁定到 IN 方向的外部介面。

知道了這一點,您的訪問列表告訴 ASA 允許在外部介面上接收來自任何源IP/TCP 埠組合的 TCP 流量,這些 IP/TCP 埠組合發往TCP/80 上的 208.x、TCP/678 上的 208.x 和 208.x在 TCP/789 上。

下一步(或第一步,取決於您喜歡如何做事)是創建一個翻譯規則,以便翻譯流量——當然是在通過訪問控制檢查之後。

在 ASA 8.2 及更早版本中,這是通過static命令完成的。對 NAT 的重大更改在 ASA 8.3 及更高版本中實施——因此以下內容不適用於 8.3 及更高版本。

假設:

  • 208.1.1.1/TCP/80 <-> 192.168.1.100/TCP/80
  • 208.1.1.1/TCP/678 <-> 192.168.1.101/TCP/678
  • 208.1.1.1/TCP/789 <-> 192.168.1.102/TCP/789
  • 內部介面上的 192.168.1.0/24

我已經用 1 填充了外部 IP 地址的其餘八位字節,以清楚地表明我們將在單個外部 IP 地址上進行埠地址轉換 (PAT),特別是靜態 PAT。這與更傳統的靜態 NAT 不同,其中每個內部 IP 都有自己唯一的外部 IP。

static (inside,outside) tcp 208.1.1.1 80 192.168.1.100 80 netmask 255.255.255.255
static (inside,outside) tcp 208.1.1.1 678 192.168.1.101 678 netmask 255.255.255.255
static (inside,outside) tcp 208.1.1.1 789 192.168.1.102 789 netmask 255.255.255.255

通常應避免使用靜態 PAT,因為從管理和技術角度來看,它是最醜陋的 NAT 類型。如果您需要向 Internet 公開許多內部伺服器,最簡單的實現方式是使用傳統的靜態 NAT——每台伺服器都有自己的外部 IP。

參考:

ASA 7.2 命令參考

ASA 7.2 命令參考 static 命令

-韋弗

引用自:https://serverfault.com/questions/287798