思科ASA对象组NAT
ACL对象组NAT配置
ciscoasa#conf t
ciscoasa(config)#hostname ASA
ASA(config)#domain-name asa.com
ASA(config)#enable password class
ASA(config)#int vlan 1
ASA(config-if)#nameif inside
ASA(config-if)#security-level 100
ASA(config-if)#ip add 192.168.1.1 255.255.255.0
ASA(config-if)#exit
ASA(config)#int vlan 2
ASA(config-if)#nameif outside
ASA(config-if)#security-level 0
ASA(config-if)#no ip address dhcp //删除默认 DHCP 设置
ASA(config-if)#ip add 200.200.200.2 255.255.255.248
ASA(config-if)#exit
ASA(config)#int vlan 3
ASA(config-if)#ip address 172.16.1.1 255.255.255.0
ASA(config-if)#no forward interface vlan 1 //由于服务器不需要发起与内部用户的通信,因此禁用向接口 VLAN 1 执行的转发。
ASA(config-if)#nameif dmz
ASA(config-if)#security-level 50
ASA(config-if)#exit
ASA(config)#int e0/1
ASA(config-if)#switchport access vlan 1
ASA(config-if)#int e0/0
ASA(config-if)#swi acc vlan 2
ASA(config-if)#int e0/2
ASA(config-if)#swi acc vlan 3
ASA(config-if)#exit
ASA(config)#route outside 0.0.0.0 0.0.0.0 200.200.200.1
ASA(config)#object network in-net //配置地址转换使用 PAT 和网络对象in-net
ASA(config-network-object)#subnet 192.168.1.0 255.255.255.0
ASA(config-network-object)#nat (inside,outside) dynamic interface
ASA(config-network-object)#end
ASA#sh run // ASA 将配置拆分为定义要转换的网络的对象部分和实际的 nat 命令参数。它们出现在运行配置中的两个不同位置
object network in-net
subnet 192.168.1.0 255.255.255.0
!
route outside 0.0.0.0 0.0.0.0 200.200.200.1 1
!
!
object network in-net
nat (inside,outside) dynamic interface
pc0 ping 200.200.200.1 不通,是因为防火墙不允许低安全区域传向高安全区域的流量。
修改 ASA 上的思科模块化策略框架 (MPF):
ASA(config)#class-map inspection_default //创建名为inspection_default的类映射,抓取默认检查流量
ASA(config-cmap)#match ?
mode commands/options:
access-list Access List name
any Match any packets
default-inspection-traffic Match default inspection traffic:
ctiqbe----tcp--2748 dns-------udp--53
ftp-------tcp--21 gtp-------udp--2123,3386
h323-h225-tcp--1720 h323-ras--udp--1718-1719
http------tcp--80 icmp------icmp
ils-------tcp--389 ip-options-----rsvp
mgcp------udp--2427,2727 netbios---udp--137-138
radius-acct----udp--1646 rpc-------udp--111
rsh-------tcp--514 rtsp------tcp--554
sip-------tcp--5060 sip-------udp--5060
skinny----tcp--2000 smtp------tcp--25
sqlnet----tcp--1521 tftp------udp--69
waas------tcp--1-65535 xdmcp-----udp--177
ASA(config-cmap)#match default-inspection-traffic
ASA(config-cmap)#exit
ASA(config)#policy-map global_policy //创建策略映射global_policy
ASA(config-pmap)#class inspection_default //使用类映射
ASA(config-pmap-c)#inspect icmp //检查icmp(即允许内部ping出去的数据包的返回包)
ASA(config-pmap-c)#exit
ASA(config)#service-policy global_policy global //服务策略,在全部端口应用策略映射。
pc0 ping 200.200.200.1 通
ASA(config)#show xlate //显示nat
ASA(config)#object network dmz-server //使用网络对象配置 DMZ 服务器的静态 NAT
ASA(config-network-object)#host 172.16.1.100
ASA(config-network-object)#nat (dmz,outside) static 200.200.200.3
ASA(config-network-object)#exit
配置一个命名访问列表 OUTSIDE-DMZ,以允许端口 80 上任何外部主机到 DMZ 服务器内部 IP 地址的 IP 协议。将访问列表应用于 “IN”(入站)方向的 ASA 外部接口。
ASA#conf t
ASA(config)#access-list OUTSIDE-DMZ permit icmp any host 172.16.1.100
ASA(config)#access-list OUTSIDE-DMZ permit tcp any host 172.16.1.100 eq 80
ASA(config)#access-group OUTSIDE-DMZ in interface outside
思科ASA对象组NAT的更多相关文章
- 思科ASA放行主/被动FTP
实验环境: 设备说明: internet是一台windows10,用于模拟外网客户 ASA是思科ASA防火墙 FTP-SERVER是Centos7,Centos7上安装了vsftpd 实验说明: 本文 ...
- JS兼用IE8的通过class名获取CSS对象组
转自:Garon_InE 原生js方法“document.getElementsByClassName”在ie8及其以下浏览器中不能使用,所以写了一个兼容IE的方法. 完整的页面代码如下: testJ ...
- 思科 ASA 系列防火墙 官方文档下载指南
思科 ASA 系列命令参考 思科 ASA 系列命令参考,A 至 H 命令 思科 ASA 系列命令参考, I 至 R 命令 思科 ASA 系列命令参考,S 命令 思科 ASA 系列命令参考, ASASM ...
- 思科设备ACL与NAT技术
ACL 访问控制列表(Access Control Lists),是应用在路由器(或三层交换机)接口上的指令列表,用来告诉路由器哪些数据可以接收,哪些数据是需要被拒绝的,ACL的定义是基于协议的,它适 ...
- 思科ASA 基础学习
ASA int e0/0 ip add 192.168.1.1 24nameif insidesecruity-leve 100 int e0/0/0ip add 192.168.2.1 24name ...
- 思科双出口+策略路由+NAT
使用策略路由,从教育网出去的,在教育网接口进行nat转换 访问教育网资源平时走教育网,故障走电信 访问internat走电信线路,故障走教育网 服务器静态绑定教育网ip,不管电信.联通.教育网都走教育 ...
- 思科ASA基本配置
------------恢复内容开始------------ ASA基本配置 ciscoasa#show running-config //讲解已作的默认配置 ciscoasa#conf ...
- 思科ASA系列防火墙配置手册
使用console连接线登录方法 1.使用cisco的console连接线,连接设备的console口和计算机com口(笔记本用USB转COM口连接线)2.使用超级终端或secureCRT软件连接设备 ...
- json对象组按某个字段排序
JS排序 键值对 var sortBy=function (filed,rev,primer){ rev = (rev) ? -1 : 1; return function (a, b) { a = ...
随机推荐
- vps建站施工预告
作为一个小白,最近几天自己用vps搭了个站点,用来发发博客,偶尔还可以去外面看看.后面几章就来记一下过程吧! 结构极为简单,建站用的WordPress,目前也就只有最基础的发文章功能.不过由于习惯了m ...
- 基于Spark2.X系列的累加器和Streaming基础
一.累加器API 关于累加器,前面我也写了一篇博客,顺便粘贴这儿,对比学习,Spark学习之编程进阶总结(一).Spark 2.0系列引入了一个更加简单和更高性能的累加器API,如在1.X版本中可以这 ...
- Scala 系列(一)—— Scala 简介及开发环境配置
一.Scala简介 1.1 概念 Scala 全称为 Scalable Language,即"可伸缩的语言",之所以这样命名,是因为它的设计目标是希望伴随着用户的需求一起成长.Sc ...
- JAVA调用ORACLE存储过程时间类型参数没有日期
是因为使用cs.setDate()给数据库传参数只会传日期部分.如果改用如下代码就可以: cs.setTimestamp(3, new java.sql.Timestamp(dKssj.getTime ...
- Spring-Cloud之Ribbon负载均衡-3
一.负载均衡是指将负载分摊到多个执行单元上,常见的负载均衡有两种方式.一种是独立进程单元,通过负载均衡策略,将请求转发到不同的执行单元上,例如 Ngnix .另一种是将负载均衡逻辑以代码的形式封装到服 ...
- c# 基于WebApi的快速开发框架FastFramework
一.框架简介 此框架是针对于webapi进行开发,项目分层是基于ABP框架的分层,更好的抽离业务逻辑关系,ABP是基于EF做数据访问层,本人个人比较喜欢Dapper,就把数据访问层封装成了Dapper ...
- $(...).wordExport is not a function
参考网址:https://laod.cn/code-audit/jquery-is-not-a-function.html 问题描述: 1.view页面引用的是jquery-1.10.2.min.j ...
- selenium中元素操作之浏览器窗口滚动&网页日期控件操作(js操作)(五)
js的滚动条scrollIntoView() Arguments[] - python与js之间的羁绊 1.移动到元素element对象的“底端”,与当前窗口的“底部”对齐: driver.execu ...
- MVC视图中 TextBoxFor 数据格式化
@Html.TextBoxFor(m => m.Birthday,"{0:yyyy-MM-dd}", new { @class = "m-wrap small&qu ...
- 01、MySQL_简介
数据库概念 数据库(Database)是按照数据结构来组织.存储和管理数据的建立在计算机存储设备上的仓库. 数据库:存储数据的仓库 数据库分类 网络数据库 网络数据库是指把数据库技术引入到计算机网络系 ...