思科ASA防火墙端口映射
需求将内网主机10.167.26.8的80端口到外网6060端口:
ASA5508X> en
Password: ********
ASA5508X# conf t
ASA5508X(config)# object network ZabbixServer_port80_map
ASA5508X(config-network-object)# host 10.167.26.8
ASA5508X(config-network-object)# nat (inside,outside) static interface service tcp 80 6060
ASA5508X(config-network-object)# exit
ASA5508X(config)# access-list OUTSIDE_access_in extended permit tcp any host 10.167.26.8 eq 80
ASA5508X(config)# wr
具体含义:
object network 命令 定义映射名称,每个端口定义一个
host 定义映射的内网主机ip
nat (inside,outside) static interface service tcp 80 6060 将内网端口80映射到外网端口6060
exit 退出object network定义
access-list 定义ACL访问规则,允许10.167.26.8的端口80通过
有些教程中
nat (inside,outside) static interface service tcp 80 6060
对应的部分是
nat (inside,outside) static 8.8.8.8 service tcp 80 6060
区别如下
nat (inside,outside) static interface 将10.167.26.8转换为outside接口地址
nat (inside,outside) static 8.8.8.8 将10.167.26.8转换为8.8.8.8的外网IP
其中ACL如果之前没定义,需要加一句OUTSIDE_access_in
access-group OUTSIDE_access_in in interface outside
通常情况下,需要配置回流,回流配置可以参考:
(Hairpinning解决内网使用公网IP访问web服务,没有专门的DMZ区)
情景说明:
通过Cisco ASA 5520 防火墙,使用公网IP 8.8.8.8(outside),发布了一台WEB服务器,其私网IP是10.167.26.8(inside)。
希望实现的目标:
公司内部(位于inside)用户计算机,想使用公网IP 8.8.8.8(或解析成公网IP的域名)访问这台(位于inside)WEB服务器。默认情景下,公司内部inside计算机无法通过公网IP访问到这台inside服务器。因为思科的防火墙不允许inside进来的流量,未经其它接口出去而直接从inside返回(会被ASA直接丢弃)。为实现在公司内部(inside)也能使用公网IP访问同样在inside的这台WWW服务器,思科至少有几种做法:
一是Alias + static NAT,配置别名。
原理就是内部的计算机到外部进行DNS查询时,ASA根据别名配置,将返回的公网IP替换成私网IP,这样其实内部计算机直接使用私网IP访问WWW服务器。(可以使用ping 域名查看返回的IP地址进行验证)
二是DNS Doctoring + static NAT。
原理同Alias,是更新版本IOS的功能。在7.0以上的版本中已不推荐使用Alias(若使用了Alias,则ASDM会提示不支持Alias而无法加载配置)。
三是 Hairpinning +static NAT。
原理是允许inside进来的流量,未经其它接口出去而直接从inside接口返回。
相关的命令是:same-security-traffic permit intra-interface 俗称:Hairpinning
object network server01
host 10.167.26.8
nat (inside,outside) static 8.8.8.8 service tcp 80 6060
//定义Object
access-list OUTSIDE_access_in extended permit tcp any host 10.167.26.8 eq 80
access-group OUTSIDE_access_in in interface outside
//放行ACL
2.内网通过公网地址直接访问
内网访问8.8.8.8:6060-->10.167.26.8:80
same-security-traffic permit intra-interface
//允许同一接口发起进出口流量
object network INSIDE-INSIDE-hairpinning-NETWORK
subnet 10.167.0.0 255.255.0.0
nat (inside,inside) dynamic interface
//定义内网网段inside->inside方向
object network ZabbixServer-Hairpinning
host 10.167.26.8 (zabbix服务器IP)
nat (inside,inside) static 8.8.8.8 service tcp 80 6060
//定义内网到内网映射
access-list OUTSIDE_access_in extended permit tcp any host 8.8.8.8 eq 6060
access-group OUTSIDE_access_in in interface outside
放行ACL流量-非必须操作
如果第一步做过映射,则公网端口映射这步可以不做。
参考:Understand & Configure NAT Reflection, NAT Loopback, Hairpinning on Cisco ASA 5500-X for TelePresence ExpressWay and Other Applications (firewall.cx)
