Routing
ASA 5505 上的 IP 和埠轉發
我有一個 ASA 5505,外部網路為公共 ips 95.123.234.64/26,內部網路為私有 ips 10.22.33.0/24。我想將命中 95.123.234.67:80 的任何 tcp 流量重定向到公共 ip 78.123.234.56:22。我不知道這是否重要,但 78.123.234.56 不受 ASA 管理。這可以通過 ASA 5505 實現嗎?
不,它不能。您可以將埠轉發到內部主機,然後使用內部 Web 伺服器提供 HTTP 302 重定向。
(旁注,想像一下如果人們開始將傳入連接埠轉發到不在其網路上的遠端 IP 會產生安全隱患嗎?)
您想要做的稱為髮夾,通常是在面向內部的界面上完成,但沒有理由不能在外部界面上進行,儘管正如 javano 提到的那樣,它可能會在 Internet 上引起一些混亂。但這不會破壞任何東西,這與您想將您無法控制的 IP 地址 NAT 到您可以控制的 IP 地址不同。
要在 5505 上髮夾,您首先必須允許相同的介面流量:
same-security-traffic permit intra-interface
然後你必須更新你的 nat 表:
static (outside,outside) tcp 95.123.234.67 80 78.123.234.56 22 netmask 255.255.255.255
您可能必須更新您的外部介面訪問列表,但這應該會處理外部流量。
根據 ASA 的作業系統版本,命令會略有不同,但它是可行的。