ASA 5505的IP和端口转发

Question

我有一个ASA 5505与外部网络的公共ips 95.123.234.64/26和内部网络的私人ips 10.22.33.0/24。我想将任何达到95.123.234.67:80的tcp流量重定向到公共ip 78.123.234.56:22。我不知道这是否重要，但是78.123.234.56不是由ASA管理的。这能用ASA 5505实现吗？

Answer 1

不，它不能。您可以将端口转发到内部主机，然后使用内部web服务器传递HTTP 302重定向。

(旁注，想象一下，如果人们开始将传入的连接转发到非网络上的远程IP，那么会产生什么样的安全影响？)

Answer 2

您想要做的是所谓的头发钉扎，通常是在您的内部面对接口，但没有理由你不能做你的外部接口，虽然正如javano所提到的，它可能会在互联网上造成一些混乱。但它不会破坏任何东西，这与您想要NAT的IP地址不同，而IP地址是您不控制的IP地址。

要在5505上使用发夹，首先必须允许相同的接口流量：

same-security-traffic permit intra-interface

然后你必须更新你的nat表：

static (outside,outside) tcp 95.123.234.67 80 78.123.234.56 22 netmask 255.255.255.255

您可能必须更新您的外部接口访问列表，但这应该照顾到外部流量。

取决于ASA的操作系统版本，命令会有所不同，但它是可行的。