ASA842只允许内网主动发起访问的流量进行PAT测试

一.需求

1.内网服务器主动发起的访问都进行PAT,对外统一为一个地址

2.外部访问内网服务器的某些指定端口(比如TCP22,23),用的目标地址为内网服务器的真实地址

二.解决方案

1.配置动态PAT,让出去的流量进行地址转换,同时配置静态PAT,让进来的流量仍然用服务器真实地址

2.或者,配置动态PAT,让出去的流量进行地址转换,同时配置策略NAT(Twice-NAT),让源端口为指定端口的出去的流量转换后的地址为自身地址

3.通过测试,上面两种方式PAT出去的地址都可以为内网在用服务器的地址,只不过如果这样,需要增加静态PAT的配置,否则内网对应IP地址无法从外面访问,只能通过直连地址访问

二.测试拓扑

三.基本配置:

1.Outside服务器

IP地址:202.100.1.88/24

默认网关:202.100.1.1

2.Inside服务器

IP地址:10.68.200.88/24

默认网关:10.68.200.1

3.ASA842

①接口配置:

interface GigabitEthernet0

nameif inside

security-level 100

ip address 10.68.200.1 255.255.255.0

no shut

!

interface GigabitEthernet1

nameif outside

security-level 0

ip address 202.100.1.1 255.255.255.0

no shut

!

②策略配置:

access-list outside extended permit ip any host 10.68.200.88

access-group outside in interface outside

三.NAT配置

①PAT配置:

---指定内网整个网段出去的流量进行PAT,也可以用range指定某个范围的IP

object network Inside-net

subnet 10.68.200.0 255.255.255.0

object network Inside-net

nat (inside,outside) dynamic interface

②静态PAT配置:

---对指定的端口进行静态PAT转换,如果同一IP有多个端口需要映射,需要配置多个不同名称的对象

object network inside_server1

host 10.68.200.88

nat (inside,outside) static inside_server1 service tcp 22 22

object network inside_server2

host 10.68.200.88

nat (inside,outside) static inside_server2 service tcp 23 23

或者:

②Twice NAT配置:

--指定源端口为内网指定的端口,NAT地址为自己的地址,即不做NAT处理

--如果对象中用range包含IP段,后续增加的服务器IP在IP段之内,就不用重新修改防火墙策略

object network inside_server

host 10.68.200.88

object service SSH

service tcp source eq ssh

object service TELNET

service tcp source eq telnet

nat (inside,outside) source static inside_server inside_server service SSH SSH

nat (inside,outside) source static inside_server inside_server service TELNET TELNET

四.验证

①出去的流量做了PAT:

---上面为用Inside服务器ssh ouside服务器时的截图

②进来的流量目标地址为内网真实地址:

原文地址:http://blog.51cto.com/333234/2082939

时间: 2024-11-05 16:31:55

ASA842只允许内网主动发起访问的流量进行PAT测试的相关文章

连接上vpn后能访问公司内网,不能访问外网的问题,win10

公司给了vpn,这样周末有事的话,我在家里也能办公了,挺好的, 但是在连接后,却遇到了问题. 问题:vpn能连上了,可以访问公司的内网了,但是却不能访问外网,查了资料说,大多数都提到要将“在远程网络上使用默认网关”的复选框取消选择, 但是能访问外网了,公司内网又不能访问. 解决方法: 当前状态:连上vpn了,不能访问内网,能访问外网的状态 接着后面的步骤走就ok了 1.查看你连接vpn的 IPv4地址 命令: ipconfig /all 2.查看访问外网的 跃点数 第一行的最后一个数 命令: r

只具备内网的服务器通过yum安装软件

1.在维护过程中,需要统一安装一些软件,可能有的机器只具有内网,有的机器具备外网,可以直接从yum安装,怎么办呢?答:在具备外网的机器上启用yum缓存,这样安装软件的时候本地也缓存了软件安装包,怎样修改yum配置:#vim /etc/yum.conf  keepcache=1 //1表示启用缓存,默认为0,表示不启用#yum install 软件名 //安装的软件包将被缓存的/var/cache/yum/base/packages下,更新的软件包将被缓存到/var/cache/yum/updat

CentOS 设置 Elasticsearch 只允许内网访问

vi /etc/sysconfig/iptables 添加以下代码即可,设置内网网段 iptables -A INPUT -p tcp --dport 9200 ! -s 127.0.0.1 -j DROP -----------------------------------------

ip隧道--实现阿里内网服务器可以访问外网~

有两台阿里的服务,一台A有分配外网ip,另外一台B没有,如何让B借助A实现上网? 处理方式如下 在A服务器 ip tunnel add i2o mode ipip remote B local A ---这里A.B均是内网地址 ifconfig i2o 192.168.2.1 netmask 255.255.255.0 在B服务器 ip tunnel add i2o mode ipip remote A local B ---这里A.B均是内网地址 ifconfig i2o 192.168.2.

sockets+proxychains代理,使内网服务器可以访问外网

Socks5+proxychains做正向代理 1.         应用场景: 有一台能上外网的机子,内网机子都不能连外网,需求是内网机子程序需要访问外网,做正向代理. 2.         软件 Server端:   Client端:       3.SOCKS5 是一个代理协议,它在使用TCP/IP协议通讯的前端机器和服务器机器之间扮演一个中介角色,使得内部网中的前端机器变得能够访问Internet网中的服务器,或者使通讯更加安全.SOCKS5 服务器通过将前端发来的请求转发给真正的目标服

内网IP无法访问linux中weblogic的console控制台

今天用vm搭建weblogic服务器,可是主机却访问不了虚机的weblogic的console 非常郁闷. Weblogic12c 的默认IP是本地localhost, 默认端口为7001, 修改它们,需要进入Weblogic 9的安装目录下的{DOAMIN_HOME}\config\ 找到config.xml 即可,打开之后找到 1 <server> 2     <name>AdminServer</name> 3     <ssl> 4       &l

linux设置好IP后,可以访问内网,不能访问外网

1,设置网卡,ip vi /etc/sysconfig/network-scripts/ifcfg-eth0 DEVICE=eth0 #描述网卡对应的设备别名,例如ifcfg-eth0的文件中它为eth0 BOOTPROTO=static #设置网卡获得ip地址的方式,可能的选项为static,dhcp或bootp,分别对应静态指定的 ip地址,通过dhcp协议获得的ip地址,通过bootp协议获得的ip地址 BROADCAST=192.168.0.255 #对应的子网广播地址 HWADDR=0

网站在线后台只允许内网ip登录

公司ip   ***.145.36.*** 服务器ip    ***.96.155.*** 1.   路由器设置   所有通往***.96.155.***的流量走wlan2. 2.   vhost设置 <VirtualHost *:80> ServerAdmin [email protected] DocumentRoot"/var/www/html" <Directory /var/www/html> AllowOverrideAll #Requireall 

p2p软件如何穿透内网进行通信

http://blog.chinaunix.net/uid-22326462-id-1775108.html 首先先介绍一些基本概念: NAT(Network Address Translators),网络地址转换:网络地址转换是在IP地址日益缺乏的情况下产生的,它的主要目的就是为了能够地址重用.NAT分为两大类,基本的NAT和NAPT(Network Address/Port Translator). 最开始NAT是运行在路由器上的一个功能模块.最先提出的是基本的NAT,它的产生基于如下事实: