一.測試拓撲
二.測試思路
1.分別測試tcp和udp的連續埠pat
2.再用靜態埠轉換工具分別將tcp埠和udp埠轉換到某個常用埠進行測試
---tcp轉換到tcp23,用telnet測試
---udp轉換到udp514,用syslog傳送進行測試
3.為了測試方便,防火牆只設兩個區outside和inside
---將inside伺服器的tcp1000~2000對映到防火牆outside口的tcp1000~2000上
---將inside伺服器的udp1000~2000對映到防火牆outside口的upd2000~3000上
4.測試發現如果tcp埠範圍與udp埠範圍一樣,第二個nat配置不上,會報如下錯誤:
error: nat unable to reserve ports.
三.基本配置
1.outside伺服器
ip:202.100.1.8/24
2.防火牆asa842
inte***ce gigabitethernet0
nameif outside
security-level 0
ip address 202.100.1.10 255.255.255.0
!inte***ce gigabitethernet1
nameif inside
security-level 100
ip address 10.1.1.10 255.255.255.0
3.intside伺服器
ip:10.1.1.8/24
gw:10.1.1.10
四.靜態pat埠範圍配置
1.定義埠範圍物件
object network inside_server
host 10.1.1.8
object service tcp_ports
service tcp destination range 1000 2000
object service udp_ports
service udp destination range 2000 3000
2.配置twice-nat
nat (outside,inside) source static any any destination static inte***ce inside_server service tcp_ports tcp_ports
nat (outside,inside) source static any any destination static inte***ce inside_server service udp_ports udp_ports
3.配置並應用防火牆策略
access-list outside extended permit tcp any object inside_server range 1000 2000
access-list outside extended permit udp any object inside_server range 2000 3000
access-group outside in inte***ce outside
4.測試驗證
---可以用多種方式驗證,如果進行靜態埠轉換嫌麻煩,可以直接抓包驗證
思科ASA防火牆埠對映
需求將內網主機10.24.11.216的80埠對映到外網19909埠 asa5506x en password asa5506x conf t asa5506x config object network servermes216 port80 map asa5506x config network...
防火牆 埠
1.dmz口 這個是非武裝區,用於伺服器 內 外網都可以訪問,但還是與內網隔離.就算是黑客把dmz伺服器拿下,也不能使用伺服器來控制內網的網路.起到安全的策略 外部能訪問dmz 內部能訪問dmz 2.trust口 可信任的介面.是區域網的介面.此介面外網和dmz無法訪問.外部不能訪問trust口 d...
ASA防火牆訪問配置總結
show run 找到如下資訊 access list inside1 outside1 extended permit udp xx.0 內網位址 255.255.255.0 內網掩碼 host 外網位址 range 16000 33000 access list inside1 outside1...