Cisco Cisco ASA 5555-X Adaptive Security Appliance 快速安装指南
5-20
思科 ASA 系列防火墙 CLI 配置指南
第 5 章 网络对象 NAT
网络对象 NAT 配置示例
步骤 4
定义 HTTP 服务器地址,为 HTTP 服务器配置带身份端口转换的静态 NAT:
hostname(config-network-object)# host 10.1.2.28
hostname(config-network-object)# nat (inside,outside) static 209.165.201.3 service tcp
http http
步骤 5
为 SMTP 服务器地址创建网络对象:
hostname(config)# object network SMTP_SERVER
步骤 6
定义 SMTP 服务器地址,为 SMTP 服务器配置带身份端口转换的静态 NAT:
hostname(config-network-object)# host 10.1.2.29
hostname(config-network-object)# nat (inside,outside) static 209.165.201.3 service tcp
smtp smtp
映射接口上的 DNS 服务器、实际接口上的网络服务器(带 DNS 修改的
静态 NAT)
静态 NAT)
例如,可以从外部接口访问 DNS 服务器。服务器 ftp.cisco.com 在内部接口上。将 ASA 配置为静
态地将 ftp.cisco.com 实际地址 (10.1.3.14) 转换为在外部网络上可见的映射地址 (209.165.201.10)。
(请参阅
态地将 ftp.cisco.com 实际地址 (10.1.3.14) 转换为在外部网络上可见的映射地址 (209.165.201.10)。
(请参阅
。)在这种情况下,您要在此静态规则上启用 DNS 回复修改,以便使用实际地址
访问 ftp.cisco.com 的内部用户可以接收来自 DNS 服务器的实际地址,而不是映射地址。
当内部主机发送对 ftp.cisco.com 的地址的 DNS 请求时,DNS 服务器将以映射地址
(209.165.201.10) 作为回复。ASA 是指内部服务器的静态规则,并且将 DNS 回复中的地址转换为
10.1.3.14。如果不启用 DNS 回复修改,则内部主机尝试将流量发送到 209.165.201.10,而不是直
接访问 ftp.cisco.com。
(209.165.201.10) 作为回复。ASA 是指内部服务器的静态规则,并且将 DNS 回复中的地址转换为
10.1.3.14。如果不启用 DNS 回复修改,则内部主机尝试将流量发送到 209.165.201.10,而不是直
接访问 ftp.cisco.com。