ASA 5505 上的 IP 和埠轉發

我有一個 ASA 5505，外部網路為公共 ips 95.123.234.64/26，內部網路為私有 ips 10.22.33.0/24。我想將命中 95.123.234.67:80 的任何 tcp 流量重定向到公共 ip 78.123.234.56:22。我不知道這是否重要，但 78.123.234.56 不受 ASA 管理。這可以通過 ASA 5505 實現嗎？

不，它不能。您可以將埠轉發到內部主機，然後使用內部 Web 伺服器提供 HTTP 302 重定向。

（旁注，想像一下如果人們開始將傳入連接埠轉發到不在其網路上的遠端 IP 會產生安全隱患嗎？）

您想要做的稱為髮夾，通常是在面向內部的界面上完成，但沒有理由不能在外部界面上進行，儘管正如 javano 提到的那樣，它可能會在 Internet 上引起一些混亂。但這不會破壞任何東西，這與您想將您無法控制的 IP 地址 NAT 到您可以控制的 IP 地址不同。

要在 5505 上髮夾，您首先必須允許相同的介面流量：

same-security-traffic permit intra-interface

然後你必須更新你的 nat 表：

static (outside,outside) tcp 95.123.234.67 80 78.123.234.56 22 netmask 255.255.255.255

您可能必須更新您的外部介面訪問列表，但這應該會處理外部流量。

根據 ASA 的作業系統版本，命令會略有不同，但它是可行的。

引用自：https://serverfault.com/questions/497730