James Asked: 2013-04-10 10:26:00 +0800 CST2013-04-10 10:26:00 +0800 CST 2013-04-10 10:26:00 +0800 CST ASA 5505 上的 IP 和端口转发 772 我有一个 ASA 5505,外部网络的公共 ips 95.123.234.64/26 和内部网络的私有 ips 10.22.33.0/24。我想将任何命中 95.123.234.67:80 的 tcp 流量重定向到公共 IP 78.123.234.56:22。我不知道它是否重要,但 78.123.234.56 不受 ASA 管理。这可以通过 ASA 5505 实现吗? routing 2 个回答 Voted bluedogs 2013-05-07T11:58:23+08:002013-05-07T11:58:23+08:00 你想做的事情叫做发夹,通常它是在你的内部界面上完成的,但你没有理由不能在你的外部界面上做,尽管正如 javano 提到的那样,它可能会在 Internet 上引起一些混乱。但它不会破坏任何东西,这与您想要将您无法控制的 IP 地址 NAT 到您控制的 IP 地址不同。 要在 5505 上发夹,您首先必须允许相同的接口流量: same-security-traffic permit intra-interface 然后你必须更新你的 nat 表: static (outside,outside) tcp 95.123.234.67 80 78.123.234.56 22 netmask 255.255.255.255 您可能必须更新您的外部接口访问列表,但这应该会处理外部流量。 根据 ASA 的操作系统版本,命令会略有不同,但它是可行的。 Best Answer jwbensley 2013-04-10T11:16:12+08:002013-04-10T11:16:12+08:00 不,不能。您可以将端口转发到内部主机,然后使用内部 Web 服务器传送 HTTP 302 重定向。 (旁注,想象一下如果人们开始将传入连接端口转发到不在他们网络上的远程 IP 会带来什么安全隐患?)
你想做的事情叫做发夹,通常它是在你的内部界面上完成的,但你没有理由不能在你的外部界面上做,尽管正如 javano 提到的那样,它可能会在 Internet 上引起一些混乱。但它不会破坏任何东西,这与您想要将您无法控制的 IP 地址 NAT 到您控制的 IP 地址不同。
要在 5505 上发夹,您首先必须允许相同的接口流量:
然后你必须更新你的 nat 表:
您可能必须更新您的外部接口访问列表,但这应该会处理外部流量。
根据 ASA 的操作系统版本,命令会略有不同,但它是可行的。
不,不能。您可以将端口转发到内部主机,然后使用内部 Web 服务器传送 HTTP 302 重定向。
(旁注,想象一下如果人们开始将传入连接端口转发到不在他们网络上的远程 IP 会带来什么安全隐患?)