关于Cisco ASA的手册NAT

Question

我有思科ASA 5515-x运行版本9.2。我想转发80到9006的请求，这是我的DVR。

我做了这个：

object network obj-10.10.26.6
  host 10.10.26.6
object network obj-203.156.213.173
  host 203.156.213.173
object service port-80
  service tcp source eq 80
object service port-9006
  service tcp destination eq 9006

nat (inside,public-IP) source static obj-10.10.26.6 obj-203.156.213.173 service port-80 port-9006

当我在池IP中进行端口转发时，会得到以下错误：

pac in public-IP tcp 8.8.8.8 12345 203.156.213.173 9006

结果：

input-interface: Public-IP
input-status: up
input-line-status: up
output-interface: Public-IP
output-status: up
output-line-status: up
Action: drop

Drop-reason: (nat-no-xlate-to-pat-pool) Connection to PAT address without pre-existing xlate

我在这里做错什么了？为什么我会收到这个错误：“丢弃原因：(nat-no- xlate - to - PAT -池)连接到PAT地址，而没有预先存在的xlate。

实际上，201.135.201.73是我的公共ip，203.156.213.173是ISP给我的池IP，它可以路由到我的公共IP。

Answer 1

尝试：

no nat (inside,public-IP) source static obj-10.10.26.6 obj-203.156.213.173 service port-80 port-9006

object network obj-10.10.26.6
  host 10.10.26.6
  nat (inside,public-IP) static 203.156.213.173 service tcp port-80 port-9006

(或者类似的事情，我是从记忆中做的)。

或者，正如我猜测在静态nat之前还有另一个(动态) nat语句(但我还没有足够的声誉在评论中询问您，嗯！)，重新安排顺序，以便静态优先。

Answer 2

如果您使用的是源NAT，那么应该将端口设置为source。

object service port-9006
 service tcp source eq 9006

清除翻译表。

clear xlate