У меня есть ASA (A) с набором общедоступных IP-адресов (A1..A6). И у меня есть еще один сервер S с публичным IP (S1).
Я хочу, чтобы весь трафик передавался через NAT (A2: 22) на S1: 22. (SSH здесь просто пример) Если возможно, я хочу, чтобы трафик даже не касался внутреннего интерфейса.
(Как мне это сделать?
Я попытался:
access-list outside_access_in line 26 extended permit tcp any host S1 eq ssh
access-list outside_access_in line 26 extended permit tcp any host S1 eq ssh
static (outside,outside) A2 S1 netmask 255.255.255.255 tcp 0 0 udp 0
Но это, согласно трассировщику пакетов, всегда умирает из-за правила неявного отбрасывания входящих сообщений на внешнем интерфейсе. Я даже пытался удовлетворить его, используя правило «брось все свои штаны»: любое: любое, но безуспешно.
Я понимаю, что этого недостаточно, чтобы заставить его работать. Но действительно ли это работает?
Вам необходимо убедиться, что трафик внутри интерфейса разрешен.
sh run | i same-security-traffic
Если это не так, выполните следующую команду:
same-security-traffic permit intra-interface
Это позволит трафику приходить и покидать брандмауэр на том же интерфейсе (прическа).
Кроме того, в вашем статическом nat нет необходимости, поскольку трафик не будет проходить через какие-либо интерфейсы.