北京最热的日子, 被人邀请调试一个 ASA5540. 需求很简单, 十来个人上网, 另外就是 VMware 对外服务, 也就是 TCP443,TCP8443 以及邪恶的 4172.
因为运营商对 WWW,https 等服务进行了限制, 需要另外申请, 为了方便所以朋友希望将 https 转换为 TCP8888(这是多想发财啊).
下面就是配置, 因为版本不同找了一些资料, 都不全, 所以笔者将全过程记录方便大家提出批评.
第一步:
建立内网 IP object
- object network 50.30_4172_udp
- host 192.168.50.30
- object network 50.30_8443
- host 192.168.50.30
- object network 50.30_443
- host 192.168.50.30
- object network 50.30_22
- host 192.168.50.30
- object network 50.30_4172_tcp
- host 192.168.50.30
第二步:
转换过程
- object network 50.30_4172
- nat (inside,outside) static 202.202.202.202 service udp 4172 4172
- object network 50.30_8443
- nat (inside,outside) static 202.202.202.202 service tcp 8443 8443
- object network 50.30_443
- nat (inside,outside) static 202.202.202.202 service tcp https 8888
- object network 50.30_22
- nat (inside,outside) static 202.202.202.202 service tcp ssh ssh
- object network 50.30_4172_tcp
- nat (inside,outside) static 202.202.202.202 service tcp 4172 4172
第三步:
访问列表
- access-list 101 extended permit tcp any host 192.168.50.30 eq 4172
- access-list 101 extended permit udp any host 192.168.50.30 eq 4172
- access-list 101 extended permit tcp any host 192.168.50.30 eq 8443
- access-list 101 extended permit tcp any host 202.202.202.202 eq 8888
- access-list 101 extended permit tcp any host 202.202.202.202 eq 8443
- access-list 101 extended permit udp any host 202.202.202.202 eq 4172
- access-list 101 extended permit tcp any host 202.202.202.202 eq 4172
- access-list 101 extended permit tcp any host 192.168.50.30 eq https
第四步:
应用列表
access-group 101 in interface outside
后来测试通过, 其中 4172 端口既是 TCP 又是 UDP, 着实出乎意料. 列表部分比较出乎意料, 属于测试出来的结果.
同样应用如果在天融信上配置, 方便很多.
命名目的地址为 self-outside 对应 202.202.202.202,self 对应 192.168.50.30. 建立一个 tcp8888 即可.
在华为的 USG 上更加方便.
推荐有条件还是选择国产吧, 确实方便很多. 谢谢
来源: http://www.bubuko.com/infodetail-2716278.html