我有一个运行 8.0(3) 的 PIX。
我有一个端口转发允许外部用户访问我内部网络上的服务器设置如下:
static (inside,outside) tcp interface 8080 192.168.168.100 8080 netmask 255.255.255.255
access-list ACLIN extended permit tcp any host xx.xx.xx.135 eq 8080
...这适用于外部用户。但是内部网络的人不能访问http://xx.xx.xx.135:8080,我必须添加什么 ACL 才能允许这个?
从面向外部的 NAT IP 地址访问内部主机会增加许多问题。
首先,PIX/ASA 必须配置为允许此类通信。通常默认情况下它不会。
其次,它会导致一些不对称的路由问题。例如,NAT 遍历不会更改传入数据包的源 IP 地址。所以可能发生的是 H1(内部主机)向 ES1(外部服务器 IP/端口)发出请求。在防火墙上,NAT 将目的地从 ES1 更改为 IS1(内部服务器 IP/端口)并转发流量。IS1 处理请求,发现 H1 在本地网络上并将其转发到那里。H1 拒绝连接,因为它建立了到 ES1 的连接,并期望该端口上的流量来自 ES1,而不是 IS1。
在网络上搜索“Cisco ASA hairpin”,您应该会在 Cisco 站点上找到许多关于解决这些问题的讨论,以及大量与 Cisco 无关的参考资料。例如: https: //supportforums.cisco.com/thread/1003238