内网通过映射后的公网IP访问内网服务测试--ASA8.0 hairpin NAT测试

本文涉及的产品
公网NAT网关,每月750个小时 15CU
简介:

一.测试拓扑:
122222476.jpg

参考链接:http://blog.csdn.net/boblxs/article/details/8063814

二.基本思路:

A.通过配置hairpin NAT使得内网通过映射后的公网地址访问内部服务器时同时做目标地址转换,也做源地址转换

---被访问的内部服务器看到的地址为ASA内部接口地址,而不是内网实际地址

B.因为流量只是在ASA的内部接口进出,所以需要开启相同安全级别在同一接口的进出

三.基本配置:
A.R1:
interface FastEthernet0/0
ip address 202.100.1.2 255.255.255.0
no shut
B.ASA8.0:
interface Ethernet0/0
nameif inside
ip address 10.1.1.254 255.255.255.0
no shut
interface Ethernet0/1
nameif outside
ip address 202.100.1.1 255.255.255.0
no shut
route outside 0.0.0.0 0.0.0.0 202.100.1.2
C.R2:
interface FastEthernet0/0
ip address 10.1.1.2 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 10.1.1.254
enable secret cisco
line vty 0 4
password cisco
login
-----R1开启telnet服务
D.PC1:
IP:10.1.1.1/24
GW:10.1.1.254
四.防火墙NAT配置:
A.动态PAT:
nat (inside) 1 10.1.1.0 255.255.255.0
global (outside) 1 interface 
B.静态PAT:
static (inside,outside) tcp interface 2323 10.1.1.2 23 
五.防火墙策略配置:
A.开启ICMP审查
policy-map global_policy
class inspection_default
inspect icmp
B.允许外面Telnet内网R1
access-list outside-in extended permit tcp any interface outside eq 2323
access-group outside-in in interface outside
六.测试:
A.PC1能正常通过R2内网地址telnet R2
B.R1能正常通过R2映射后公网地址telnet R1
R1#telnet 202.100.1.1 2323
Trying 202.100.1.1, 2323 ... Open


User Access Verification

Password: 
R2>
C.但是PC1却无法通过R1映射后的公网地telnet R1
七.配置hairpin NAT

参考链接: http://blog.csdn.net/boblxs/article/details/8063814
A.允许相同接口返回流量
same-security-traffic permit intra-interface 
B.配置hairpin NAT
global (inside) 1 interface
static (inside,
inside) tcp 202.100.1.1 2323 10.1.1.2 23 
C.测试:

PC1能通过telnet 202.100.1.1 2323登录R2,登录R2后看到的地址为防火墙内网口地址:

122235294.jpg




本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/1062960,如需转载请自行联系原作者

相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
相关文章
|
3天前
|
开发者 ice
实时云渲染中的NAT转发服务支持个人电脑秒变云渲染服务器
实时云渲染技术广泛应用于XR领域,助力数千客户完成云端部署。平行云推出的转发服务解决了家庭网络动态IP问题,使个人电脑成为实时云渲染服务器,按实际使用分钟数计费,无用户访问不收费。通过配置LarkXR的代理转发Server和ICE Server,开发者可轻松实现互联网访问内网XR应用,极大提升了开发、测试和演示的便利性。
|
1月前
|
监控 测试技术 定位技术
HTTP代理IP响应速度测试方案设计与指标体系
随着数字化发展,网络安全、隐私保护及内容访问自由成为核心需求。HTTP代理因其技术优势成为热门选择。本文介绍HTTP代理IP响应速度测试方案,包括基础性能、稳定性、地理位置、实际应用、安全性测试及监控指标,推荐测试工具,并提供测试结果评估标准。
47 2
|
2月前
|
安全 应用服务中间件 网络安全
如何测试Nginx反向代理实现SSL加密访问的配置是否正确?
如何测试Nginx反向代理实现SSL加密访问的配置是否正确?
126 3
|
2月前
|
域名解析 网络协议 测试技术
IP、掩码、网关、DNS1、DNS2到底是什么东西,ping telnet测试
理解IP地址、子网掩码、默认网关和DNS服务器的概念是有效管理和配置网络的基础。通过使用ping和telnet命令,可以测试网络连通性和服务状态,快速诊断和解决网络问题。这些工具和概念是网络管理员和IT专业人员日常工作中不可或缺的部分。希望本文提供的详细解释和示例能够帮助您更好地理解和应用这些网络配置和测试工具。
229 2
|
3月前
|
XML Java Maven
在 Cucumber 测试中自动将 Cucumber 数据表映射到 Java 对象
在 Cucumber 测试中自动将 Cucumber 数据表映射到 Java 对象
78 7
|
3月前
|
网络协议 Ubuntu 前端开发
好好的容器突然起不来,经定位是容器内无法访问外网了?测试又说没改网络配置,该如何定位网络问题
本文记录了一次解决前端应用集成到主应用后出现502错误的问题。通过与测试人员的沟通,最终发现是DNS配置问题导致的。文章详细描述了问题的背景、沟通过程、解决方案,并总结了相关知识点和经验教训,帮助读者学习如何分析和定位网络问题。
140 0
|
4月前
|
设计模式 SQL 安全
PHP中的设计模式:单例模式的深入探索与实践在PHP的编程实践中,设计模式是解决常见软件设计问题的最佳实践。单例模式作为设计模式中的一种,确保一个类只有一个实例,并提供全局访问点,广泛应用于配置管理、日志记录和测试框架等场景。本文将深入探讨单例模式的原理、实现方式及其在PHP中的应用,帮助开发者更好地理解和运用这一设计模式。
在PHP开发中,单例模式通过确保类仅有一个实例并提供一个全局访问点,有效管理和访问共享资源。本文详细介绍了单例模式的概念、PHP实现方式及应用场景,并通过具体代码示例展示如何在PHP中实现单例模式以及如何在实际项目中正确使用它来优化代码结构和性能。
62 2
|
4月前
|
SQL JavaScript 前端开发
基于Java访问Hive的JUnit5测试代码实现
根据《用Java、Python来开发Hive应用》一文,建立了使用Java、来开发Hive应用的方法,产生的代码如下
84 6
|
8月前
|
安全 网络安全 网络架构
计算机网络地址转换(NAT)
网络地址转换(NAT)允许多个主机共享一个或一组公共IP地址,同时保护内部网络的隐私和安全。NAT通常由路由器或防火墙设备执行,它充当内部网络和外部网络之间的中间人,将内部主机的私有IP地址映射到一个或多个公共IP地址上。
129 0
|
2月前
|
存储 网络协议 安全
30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场
本文精选了 30 道初级网络工程师面试题,涵盖 OSI 模型、TCP/IP 协议栈、IP 地址、子网掩码、VLAN、STP、DHCP、DNS、防火墙、NAT、VPN 等基础知识和技术,帮助小白们充分准备面试,顺利踏入职场。
134 2

热门文章

最新文章