Routing

ASA 5505 上的 IP 和埠轉發

  • May 6, 2013

我有一個 ASA 5505,外部網路為公共 ips 95.123.234.64/26,內部網路為私有 ips 10.22.33.0/24。我想將命中 95.123.234.67:80 的任何 tcp 流量重定向到公共 ip 78.123.234.56:22。我不知道這是否重要,但 78.123.234.56 不受 ASA 管理。這可以通過 ASA 5505 實現嗎?

不,它不能。您可以將埠轉發到內部主機,然後使用內部 Web 伺服器提供 HTTP 302 重定向。

(旁注,想像一下如果人們開始將傳入連接埠轉發到不在其網路上的遠端 IP 會產生安全隱患嗎?)

您想要做的稱為髮夾,通常是在面向內部的界面上完成,但沒有理由不能在外部界面上進行,儘管正如 javano 提到的那樣,它可能會在 Internet 上引起一些混亂。但這不會破壞任何東西,這與您想將您無法控制的 IP 地址 NAT 到您可以控制的 IP 地址不同。

要在 5505 上髮夾,您首先必須允許相同的介面流量:

same-security-traffic permit intra-interface

然後你必須更新你的 nat 表:

static (outside,outside) tcp 95.123.234.67 80 78.123.234.56 22 netmask 255.255.255.255

您可能必須更新您的外部介面訪問列表,但這應該會處理外部流量。

根據 ASA 的作業系統版本,命令會略有不同,但它是可行的。

引用自:https://serverfault.com/questions/497730