У меня есть ASA, настроенный следующим образом;
Внутри: 192.168.0.254/24 Снаружи: 10.0.0.1/29 (маршрутизируется на ASA)
global (outside) 1 interface
global (outside) 2 10.0.0.2
nat (inside) 1 0.0.0.0 0.0.0.0
nat (inside) 2 192.168.0.50 255.255.255.255
static (inside,outside) 10.0.0.2 192.168.0.5 netmask 255.255.255.255
Как видите, существует правило NAT по умолчанию для клиентов NAT по отношению к внешнему IP на их выходе. Также существует специальное правило для сопоставления внутреннего хоста 192.168.0.50/32 с 10.0.0.2, другим внешним IP. Наконец, в конце есть статическое сопоставление для 10.0.0.2.
Я пытаюсь ввести следующее статическое правило NAT для перенаправления порта с внешнего IP-адреса 10.0.0.1 на внутренний хост 192.168.0.5;
# static (inside,outside) tcp interface 555 192.168.0.5 555 netmask 255.255.255.255
ERROR: duplicate of existing static
inside:192.168.0.5 to outside:10.0.0.2 netmask 255.255.255.255
Я не понимаю, что здесь происходит. Кто-нибудь может объяснить, пожалуйста?
Статическая команда работает в обоих направлениях: трафик, поступающий для 10.0.0.2, преобразуется в 192.168.0.5, а трафик из 192.168.0.5 транслируется из 10.0.0.2. Вы не можете сопоставить 192.168.0.5 с другим адресом внешнего интерфейса, например 10.0.0.2.
Вы можете использовать команду nat с acl для перенаправления определенных портов на определенные адреса.
Например, если вы хотите, чтобы исходящий SMTP-трафик с 192.168.0.5 отображался с 10.0.0.2 (исходный nat для исходящего трафика):
access-list outfrom_10.0.0.2 extended permit tcp host 192.168.0.5 any eq smtp
nat (inside) 2 access-list outfrom_10.0.0.2
А затем, если вы хотите, чтобы входящий HTTP-трафик на 10.0.0.1 перенаправлялся на 192.168.0.5, вы можете добавить это
static (inside,outside) tcp 10.0.0.1 http 192.168.0.5 http netmask 255.255.255.255
(конечно, вам нужно удалить существующую статическую (внутри, снаружи) 10.0.0.2 192.168.0.5 маску сети 255.255.255.255)