环境:
思科防火墙ASA5555
Cisco Adaptive Security Appliance Software Version 9.4(2)6
Device Manager Version 7.5(2)153
问题描述:
思科防火墙如何配置静态NAT
解决方案:
1.做之前要先查一下有没有端口被占用,要和业务确认
2.sh Xlate | in 10011 端口 这条是查询端口命令,查看之前的NAT
显示现有的,如果没有显示任何东西,说明这个端口没有被占用
3.配置新NAT
static (dmz,outside) tcp interface 12011 192.168.1.60 10011 netmask 255.255.255.255
static (dmz,outside) tcp interface 12012 192.168.1.60 10012 netmask 255.255.255.255
static (dmz,outside) tcp interface 12013 192.168.1.60 10013 netmask 255.255.255.255
4.查看之前的ACL
show running-config | include access-list
显示现有的,如果没有显示任何东西,说明没配置过
5.新建命令
access-list outside_permit extended permit tcp any host 201.71.10.127 eq 10011
access-list outside_permit extended permit tcp any host 201.71.10.127eq 10012
access-list outside_permit extended permit tcp any host 201.71.10.127 eq 10013
6.如果业务要求端口不变,那只需要把static (dmz,outside) tcp interface 12019 192.168.1.60 10019 netmask 255.255.255.255这个的内网IP变了就行
7.一定要先删除然后在添加
access-list outside_permit extended permit tcp any host 201.71.10.127 eq 10019端口不变的话这条就可以不动