Cisco ASA 5510 В настоящее время у меня есть NAT для SMTP на одном внешнем IP-адресе на внутренний IP-адрес. Мне нужно настроить 2 внешних IP-адреса для NAT на один и тот же IP-адрес внутри. Как я могу это сделать? например: 10.10.10.1 25 -> 192.168.0.200 25 10.10.10.3 25 -> 192.168.0.200 25
Вы не сможете использовать для этого статический PAT, так как вы нарушите правило сопоставления 1: 1. Брандмауэр должен знать, какое отображение использовать в обоих направлениях - как вход-> выход, так и выход-> внутрь. В вашем случае, если 192.168.0.200 исходило соединение с порта 25, брандмауэр не знал, какой глобальный IP-адрес использовать. Другими словами, это невозможно.
Самым простым решением было бы назначить дополнительный IP-адрес на внутреннем устройстве и сохранить NAT в чистоте. Допустим, вы назначаете дополнительный IP-адрес 192.168.0.201. Конфигурация будет:
static (inside,outside) tcp 10.0.0.1 25 192.168.0.200 25
static (inside,outside) tcp 10.0.0.3 25 192.168.0.201 25
Сначала вам нужно будет обновить ASA до версии 8.3. Создание и объект сети с диапазоном IP-адресов для общественности. Затем создайте объектную сеть для внутреннего / реального IP-адреса сервера. Затем добавьте оператор nat, вызывающий первый объект.
!
object network outside_email
range 10.10.10.1 10.10.10.2
!
!
object network inside_email
host 192.168.0.200
nat (inside,outside) static outside_email
С IOS 8.2 или ниже:
access-list SMTP-Services extended permit ip host 192.168.0.200 host 10.10.10.1
access-list SMTP-Services2 extended permit ip host 192.168.0.200 host 10.10.10.3
static (InternalInterface,ExternalInterface) 10.10.10.1 access-list SMTP-Services
static (InternalInterface,ExternalInterface) 10.10.10.3 access-list SMTP-Services2
Извините, я понял прямо противоположное тому, что вы хотели сделать.
Не забудьте добавить список доступа на свой внешний интерфейс.
access-list _outside-in_ extended permit tcp host 10.10.10.1 host _YourExternalIP_ eq smtp
access-list _outside-in_ extended permit tcp host 10.10.10.3 host _YourExternalIP_ eq smtp
Такой же вопрос есть на другом сайте Stack Exchange. Вот. Это работает, потому что протокол, IP-адрес источника, IP-адрес назначения и порт являются частью ключа для этого сопоставления 1: 1. Это также отличный метод повышения отказоустойчивости сети, если BGP недоступен.