ASA NAT Priority

最新推荐文章于 2023-05-27 20:15:04 发布
转载 最新推荐文章于 2023-05-27 20:15:04 发布 · 126 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/551535
文章标签:

#网络

本文详细解析了ASA防火墙上的NAT配置顺序及方向性问题,包括如何实现内外网的正确映射,特别是针对端口映射的有效性和方向性的讨论,并提供了两种有效的解决方案。

ASA 上的 NAT的先后顺序:


interface Ethernet0/0
 nameif outside
 security-level 0
 ip address 218.5.165.202 255.255.255.248 
!


global (outside) 10 interface


nat (inside) 10 0.0.0.0 0.0.0.0


static (inside,outside) tcp 218.5.165.203 www 192.168.10.16 www netmask 255.255.255.255
static (inside,outside) tcp 218.4.165.203 ftp 192.168.10.16 ftp netmask 255.255.255.255


那么 后面这两个命令端口映射的可以生效么?可以使内部的这个机器访问出去的公网IP是218.5.165.203么?

不全是的,但是 从内网的这两个机器 192.168.10.16 出去的数据就还是选择以前的dynamic NAT了。 因为这个是单向的。只能是匹配从外面到里面的访问


解放方法:

第一种:

static (inside,outside) 218.5.165.203 192.168.10.16 

这个是双向的,不管是从内到外,还是从外到内都可以执行 


第二种:

nat (inside) 6 spacer.gif192.168.10.16 spacer.gif255.255.255.255
global (outside) 6 spacer.gif218.5.165.203



总结:

ASA上的NAT是有先后顺序和方向的,应该显示 static的 然后在是dynamic的;但是基于static的端口的是有限制的,不是双向的



本文转自 zhangfang526 51CTO博客,原文链接:http://blog.51cto.com/zhangfang526/1884760

JhonXie
关注
防火墙nat豁免与控制原理讲解
一起努力共同进步,为了未来一起奋斗吧!
12-10 2266
防火墙nat豁免与控制原理讲解
ASA防火墙高级配置——NAT控制欲NAT豁免
yj11290301的博客
12-09 1247
本章将会讲解ASA防火墙中NAT控制欲NAT豁免的作用。
ASA/PIX 包过滤/NAT/路由查找的顺序 ZZ
weixin_34220179的博客
09-18 196
====================PIX/ASA - Inside (Higher Sec_Lev) to Outside (Lower SEC_Level)---------------------------------------------------------------Eg. Type - [Sub-Type] - Description1. FLOW-LOOKUP - [] ...
Cisco ASA NAT的处理顺序
weixin_34082789的博客
01-31 1472
Cisco ASA NAT的处理顺序 如果在防火墙上配置了很多类型的地址转换,就有可能出现一些重叠。这时,防火墙会将真实(私有)地址与NAT规则按照以下的NAT处理循序依次尝试匹配,直至发现第一个匹配项为止。 1.NAT免除(使用nat 0 access-list命令)。 2.策略NAT(使用加载了access-list的static命令)。 3.静态NAT(使用st...
ASA 实现 IPSec 虚拟专用网(内附故障排查)
看清所以看轻
11-09 3139
IPSec虚拟专用网原理及基础配置实例:https://blog.youkuaiyun.com/weixin_44907813/article/details/102941603 其实,防火墙和路由器的配置非常相似,可以参考上方传送门,下方会介绍一个防火墙的配置实例 一、路由器的故障诊断排查 1、show crypto isakmp sa R1:show crypto isakmp sa ...
思科ASA防火墙双机热备综合实验
qq_43205578的博客
04-17 6166
实验背景: Failover特性是Cisco安全产品高可用性的一个解决方案,目的是为了提供不间断的服务,当主设备down掉的时候,备用设备能够马上接管主设备的工作,进而保持通信的连通性;Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接;活动设备的接口被monitor,用于发现是否要进行Failover,切换F...
enable configure terminal hostname R1 ! 基本配置 ip dhcp excluded-address 172.16.1.1 172.16.1.10 ip dhcp excluded-address 172.16.2.1 172.16.2.10 ip dhcp excluded-address 172.16.31.1 172.16.31.10 ! DHCP 服务器配置 ip dhcp pool VLAN10 ip dhcp excluded-address 172.16.1.1 172.16.1.10 ip dhcp excluded-address 172.16.2.1 172.16.2.10 ip dhcp excluded-address 172.16.31.1 172.16.31.10 default-router 172.16.1.254 dns-server 8.8.8.8 ip dhcp pool VLAN20 network 172.16.2.0 255.255.255.0 default-router 172.16.2.254 dns-server 8.8.8.8 ip dhcp pool VLAN31 network 172.16.31.0 255.255.255.0 default-router 172.16.31.254 dns-server 8.8.8.8 ! 接口配置 interface Ethernet0/0 description to-R2 ip address 172.16.100.1 255.255.255.252 no shutdown interface Ethernet0/1 description to-SW1 switchport trunk encapsulation dot1q switchport mode trunk no shutdown interface Ethernet0/2 description to-SW2 switchport trunk encapsulation dot1q switchport mode trunk no shutdown interface Ethernet0/3 no shutdown interface Ethernet1/0 description to-ASA ip address 192.168.100.2 255.255.255.0 no shutdown ! OSPF 路由配置 router ospf 1 network 172.16.0.0 0.0.255.255 area 0 network 192.168.100.0 0.0.0.255 area 0 ! HSRP 冗余配置 interface Vlan10 ip address 172.16.1.254 255.255.255.0 standby 1 ip 172.16.1.1 standby 1 priority 110 standby 1 preempt ! NAT 配置 ip access-list standard LOCAL_NET permit 172.16.0.0 0.0.255.255 ip nat inside source list LOCAL_NET interface Ethernet1/0 overload interface Ethernet1/0 ip nat outside interface Ethernet0/1 ip nat inside interface Ethernet0/2 ip nat inside end write memory 这个是我配置的CiscoIOL的三层交换机R1的命令你帮我检查一下哪里有错误然后再发修改好完整的给我
最新发布
06-12
需要检查以下配置部分:DHCP、接口、OSPF、HSRP和NAT。1.DHCP配置问题:-在全局配置中已经排除了三个地址范围,但在VLAN10的DHCP池中又重复排除了相同的地址范围。实际上,排除地址只需要在全局配置一次即可,或者在...
NAT与IPv6终极问答:为何还需要NAT?未来网络中的新定位全面解读
[NAT与IPv6终极问答:为何还需要NAT?未来网络中的新定位全面解读](https://blog.ipspace.net/2013/08/s1600-CGN-DSLite-MAP-E.png) # 摘要 随着IPv6的普及,NAT技术的定位与作用正在经历深刻变革。本文系统梳理了...
单出口双防火墙双核心冗余_CISCO ASA防护墙详细AS/双出口配置切换---By 年糕泰迪...
weixin_42470196的博客
02-05 2140
一.实验概述实验目的:1/开机零配置中性企业网络骨干架构。2/部署出口防火墙HA(Active/Standby)并验证测试。3/部署双出口自动冗余切换并验证测试。实验材料:EVE-NG ,ASAv(v9.8) ,路由器,L3交换机。实验前提此次实验防火墙为routed模式,并且为single模式实验拓扑:拓扑说明:1/名称说明:Net云为通EVE-NG模拟器主机桥接的NAT网卡,负责该网络拓扑向外...
路由进阶与安全
ys_3203527193的博客
05-31 1347
动态路由 一、动态路由概述 解决的问题: 在大型网络中,替代了手动配置每一条静态路由的巨大工作量。 动态路由的过程: 网络中的路由器之间相互信任,传递路由信息,利用接受到的路由信息更新路由表的过程。 动态路由的特点: 自主学习,减少了管理任务 宣告直连网段,占用了网络带宽 二、动态路由协议 1、动态路由协议概述 a ) 动态路由是基于某种协议来实现的。路由协议定义了在与其他路由器通信时的一些规则(如何学习路由;用什么标准来选择和维护路由信息)。 b ) 动态路由协议就.
第九章Cisco ASA应用NAT
m0_65487180的博客
06-20 793
NAT
asa防火墙启用nat控制与豁免
2202_75328505的博客
05-27 427
asa启用nat控制与豁免防火墙
ASA上的NAT配置及互联网接入(动态NAT、动态PAT、静态NAT、静态PAT以及NAT豁免、使用思科TFTP服务器上传ASDM模块)
LKmnbZ's Blog
01-17 4770
ASA上的NAT类型 动态NAT 动态PAT 静态NAT 静态PAT 动态NAT 配置步骤: 1)指定需要进行地址转换的网段 asa(config)# nat (inside) 1 10.1.1.0 255.255.255.0 2)定义全局地址池 asa(config)# global (outside/dmz) 1 172.16.1.100-172.16.1.200...
NAT+ACL+ASA 实验全网互通
weixin_34366546的博客
03-30 390
NAT+ACL+ASA 实验全网互通一概述:1,地址转换:动态NAT:多对多的映射(将一组ip地址转换为指定地址池中的ip地址动态PAT:一对多的映射(地址转换与接口转换)静态NAT:一对一的固定ip转换(可用于双向通信)静态PAT:一对一的端口号转换(与静态NAT类似)静态PAT语法:{static (dmz,outside) tcp(udp) 外部全局地址 接口(htt...
防火墙NAT综合实验——nat控制,豁免,远程,DMZ区域(带命令)
yj11290301的博客
12-10 2781
本章将会进行NAT的综合配置实验,包括NAT的动态,默认,DMZ区域,控制欲,豁免等配置。
ASA防火墙配置NAT
weixin_33935505的博客
05-28 2505
ASA防火墙配置NAT分为4种类型:动态NAT、动态PAT、静态NAT、静态PAT。结合实验拓补来了解如何配置这四种NAT类型:基本配置已经配置完成动态PAT转换配置方法: ASA(config)# nat (×××ide) 1 10.1.1.0 255.255.255.0 #声明内部地址,nat-id为1 ASA(config)# global (outside) 1 30.1.1.100-3...
××× (一) IPSec 站点到站点的×××
weixin_34248023的博客
03-19 255
随着网络的飞速发展,仅仅保证网络通信已经不能满足企业需求,高效,安全的需求也随之而来。随着这些需求越来越高,从而产生了×××(虚拟专用网络)技术。 根据需求×××技术分为两类 1. 站点到站点的××× 站点到站点的×××用来实现两个私有网络的通信,逻辑上将两个私有网络构成一个局域网,以私有地址互相访问。这种模式通常应用于企业的总部和分部。 2. 远程访问××× ...
基于priority_queue实现的霍夫曼编码方法
- 创建一个优先队列(在C++中通常使用`priority_queue`),优先级依据是字符的频率,通常以频率最低的优先级最高。 - 将每个字符及其频率作为叶节点插入优先队列中。 - 不断从优先队列中取出两个最小频率的节点,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值