ACL对象组NAT配置

ciscoasa#conf t

ciscoasa(config)#hostname ASA

ASA(config)#domain-name asa.com

ASA(config)#enable password class

ASA(config)#int vlan 1

ASA(config-if)#nameif inside

ASA(config-if)#security-level 100

ASA(config-if)#ip add 192.168.1.1 255.255.255.0

ASA(config-if)#exit

ASA(config)#int vlan 2

ASA(config-if)#nameif outside

ASA(config-if)#security-level 0

ASA(config-if)#no ip address dhcp                     //删除默认 DHCP 设置

ASA(config-if)#ip add 200.200.200.2 255.255.255.248

ASA(config-if)#exit

ASA(config)#int vlan 3

ASA(config-if)#ip address 172.16.1.1 255.255.255.0

ASA(config-if)#no forward interface vlan 1         //由于服务器不需要发起与内部用户的通信,因此禁用向接口 VLAN 1 执行的转发。

ASA(config-if)#nameif dmz

ASA(config-if)#security-level 50

ASA(config-if)#exit

ASA(config)#int e0/1

ASA(config-if)#switchport access vlan 1

ASA(config-if)#int e0/0

ASA(config-if)#swi acc vlan 2

ASA(config-if)#int e0/2

ASA(config-if)#swi acc vlan 3

ASA(config-if)#exit

ASA(config)#route outside 0.0.0.0 0.0.0.0 200.200.200.1

ASA(config)#object network in-net                    //配置地址转换使用 PAT  和网络对象in-net

ASA(config-network-object)#subnet 192.168.1.0 255.255.255.0

ASA(config-network-object)#nat (inside,outside) dynamic interface

ASA(config-network-object)#end

ASA#sh run                            // ASA 将配置拆分为定义要转换的网络的对象部分和实际的 nat 命令参数。它们出现在运行配置中的两个不同位置

object network in-net

subnet 192.168.1.0 255.255.255.0

!

route outside 0.0.0.0 0.0.0.0 200.200.200.1 1

!

!

object network in-net

nat (inside,outside) dynamic interface

pc0 ping 200.200.200.1 不通,是因为防火墙不允许低安全区域传向高安全区域的流量。

修改 ASA 上的思科模块化策略框架 (MPF):

ASA(config)#class-map inspection_default                //创建名为inspection_default的类映射,抓取默认检查流量

ASA(config-cmap)#match ?

mode commands/options:

access-list                 Access List name

any                         Match any packets

default-inspection-traffic  Match default inspection traffic:

ctiqbe----tcp--2748      dns-------udp--53

ftp-------tcp--21        gtp-------udp--2123,3386

h323-h225-tcp--1720      h323-ras--udp--1718-1719

http------tcp--80        icmp------icmp

ils-------tcp--389       ip-options-----rsvp

mgcp------udp--2427,2727 netbios---udp--137-138

radius-acct----udp--1646 rpc-------udp--111

rsh-------tcp--514       rtsp------tcp--554

sip-------tcp--5060      sip-------udp--5060

skinny----tcp--2000      smtp------tcp--25

sqlnet----tcp--1521      tftp------udp--69

waas------tcp--1-65535   xdmcp-----udp--177

ASA(config-cmap)#match default-inspection-traffic

ASA(config-cmap)#exit

ASA(config)#policy-map global_policy          //创建策略映射global_policy

ASA(config-pmap)#class inspection_default      //使用类映射

ASA(config-pmap-c)#inspect icmp              //检查icmp(即允许内部ping出去的数据包的返回包)

ASA(config-pmap-c)#exit

ASA(config)#service-policy global_policy global   //服务策略,在全部端口应用策略映射。

pc0 ping 200.200.200.1 通

ASA(config)#show xlate               //显示nat

ASA(config)#object network dmz-server      //使用网络对象配置 DMZ  服务器的静态 NAT

ASA(config-network-object)#host 172.16.1.100

ASA(config-network-object)#nat (dmz,outside) static 200.200.200.3

ASA(config-network-object)#exit

配置一个命名访问列表 OUTSIDE-DMZ,以允许端口 80 上任何外部主机到 DMZ 服务器内部 IP 地址的 IP 协议。将访问列表应用于 “IN”(入站)方向的 ASA 外部接口。

ASA#conf t

ASA(config)#access-list OUTSIDE-DMZ permit icmp any host 172.16.1.100

ASA(config)#access-list OUTSIDE-DMZ permit tcp any host 172.16.1.100 eq 80

ASA(config)#access-group OUTSIDE-DMZ in interface outside

思科ASA对象组NAT的更多相关文章

  1. 思科ASA放行主/被动FTP

    实验环境: 设备说明: internet是一台windows10,用于模拟外网客户 ASA是思科ASA防火墙 FTP-SERVER是Centos7,Centos7上安装了vsftpd 实验说明: 本文 ...

  2. JS兼用IE8的通过class名获取CSS对象组

    转自:Garon_InE 原生js方法“document.getElementsByClassName”在ie8及其以下浏览器中不能使用,所以写了一个兼容IE的方法. 完整的页面代码如下: testJ ...

  3. 思科 ASA 系列防火墙 官方文档下载指南

    思科 ASA 系列命令参考 思科 ASA 系列命令参考,A 至 H 命令 思科 ASA 系列命令参考, I 至 R 命令 思科 ASA 系列命令参考,S 命令 思科 ASA 系列命令参考, ASASM ...

  4. 思科设备ACL与NAT技术

    ACL 访问控制列表(Access Control Lists),是应用在路由器(或三层交换机)接口上的指令列表,用来告诉路由器哪些数据可以接收,哪些数据是需要被拒绝的,ACL的定义是基于协议的,它适 ...

  5. 思科ASA 基础学习

    ASA int e0/0 ip add 192.168.1.1 24nameif insidesecruity-leve 100 int e0/0/0ip add 192.168.2.1 24name ...

  6. 思科双出口+策略路由+NAT

    使用策略路由,从教育网出去的,在教育网接口进行nat转换 访问教育网资源平时走教育网,故障走电信 访问internat走电信线路,故障走教育网 服务器静态绑定教育网ip,不管电信.联通.教育网都走教育 ...

  7. 思科ASA基本配置

    ------------恢复内容开始------------ ASA基本配置 ciscoasa#show running-config        //讲解已作的默认配置 ciscoasa#conf ...

  8. 思科ASA系列防火墙配置手册

    使用console连接线登录方法 1.使用cisco的console连接线,连接设备的console口和计算机com口(笔记本用USB转COM口连接线)2.使用超级终端或secureCRT软件连接设备 ...

  9. json对象组按某个字段排序

    JS排序 键值对 var sortBy=function (filed,rev,primer){ rev = (rev) ? -1 : 1; return function (a, b) { a = ...

随机推荐

  1. 用NDK生成cURL和OpenSSL库

    最近在用Qt开发Android应用时需要获取https页面内容,但Qt内置的QNetworkAccessManager类只支持下面这些协议(调用其supportedSchemes成员函数获取): (& ...

  2. python笔记:删除列表元素和根据索引查找元素

    查找元素 #查找元素 >>> member=['张三','李四','王五','张麻子'] >>> member[0] '张三' #交换元素 >>> ...

  3. ZooKeeper系列(四)—— Java 客户端 Apache Curator

    一.基本依赖 Curator 是 Netflix 公司开源的一个 Zookeeper 客户端,目前由 Apache 进行维护.与 Zookeeper 原生客户端相比,Curator 的抽象层次更高,功 ...

  4. java注解注意点

    注意:以后工作中代码中 不允许出现警告 自定义注解 1:自定义注解并没有发挥它的作用,而Eclipse自带的注解通过反射另外有一套代码,可以发挥它的作用,例如:跟踪代码...... 2:如果自定义的代 ...

  5. ArcGIS加载数据中常用的File文件方法总结

    在介绍ArcGIS中各种数据的打开方法时,我们用到了许多对于File文件的操作,在此做一个常用用法的总结.例如, 介绍ArcGIS中各种数据的打开方法——mxd(地图文档) 以方法一为例:运用Load ...

  6. 强大的Grafana k8s 插件

    原文参考: https://i4t.com/4152.html 参考:https://blog.csdn.net/mailjoin/article/details/81389700 插件链接:http ...

  7. json.dumps()包装中文字符串

    开发环境 系统: ubuntu18.04 系统编码: $LANG = en_US.UTF-8 python解释器版本: Python 3.6.7 乱码现场 使用 json.dumps() 将 dict ...

  8. vue 数据更新问题

    在uni-app构建选项卡时,方法中改变的数组数据 无法更新v-if中的布尔值 在函数中打印出来是修改成功了,但在页面中并没有进行响应 布局如下: <swiper :current=" ...

  9. 【Jmeter】他人总结篇链接(共八篇相关文章)

    [Jmeter]他人总结篇链接(共八篇相关文章) https://blog.csdn.net/mu_wind/article/category/9029006

  10. centos7下使用x11远程带窗口安装Oracle

    目录 centos7静默安装oracle11gR2 文章目录 一.检查硬件要求 1.内存要求: 2.安装包: 二.环境准备 1.安装必要的工具 2.关闭防火墙 3.关闭Selinux 4.安装Orac ...