内网通过映射后的公网IP访问内网服务测试--ASA842 hairpin NAT测试

本文涉及的产品
公网NAT网关,每月750个小时 15CU
简介:
1.测试拓扑:

2.基本配置:
R1:
interface FastEthernet0/0
 ip address 202.100.1.2 255.255.255.0
 no shut
ASA842:
interface GigabitEthernet0
 nameif inside
 ip address 10.1.1.254 255.255.255.0
 no shut
interface GigabitEthernet1
 nameif outside
 ip address 202.100.1.1 255.255.255.0
 no shut
route outside 0.0.0.0 0.0.0.0 202.100.1.2
R2:
interface FastEthernet0/0
 ip address 10.1.1.1 255.255.255.0
 no shut
ip route 0.0.0.0 0.0.0.0 10.1.1.254
enable secret cisco
line vty 0 4
 password cisco
 login
-----R1开启telnet服务
PC1:
IP:10.1.1.2/24
GW:10.1.1.254
3.防火墙NAT配置:
A.动态PAT:
object network insidenet
 subnet 10.1.1.0 255.255.255.0
  nat (inside,outside) dynamic interface
B.静态PAT:
object network R1
 host 10.1.1.1
 nat (inside,outside) static interface service tcp 23  2323 
4.防火墙策略配置:
A.开启ICMP审查
policy-map global_policy
 class inspection_default
 inspect icmp
B.允许外面Telnet内网R2
access-list outside-in extended permit tcp any object R1 eq 23
access-group outside-in in interface outside
5.测试:
A.PC1能正常通过R2内网地址telnet R2
B.R1能正常通过R2映射后公网地址telnet R1
R1#telnet 202.100.1.1 2323
Trying 202.100.1.1, 2323 ... Open


User Access Verification

Password: 
R2>
C.但是PC2却无法通过R1映射后的公网地telnet R1
D.通过如下链接,修改ASA outside接口掩码为30为,PC1还是不能telnet R2的公网地址,抓包发现ASA发出tcp的syn包时,R1只是给了个ICMP重定向包。
http://bbs.2cto.com/read.php?tid=228594
E.通过如下链接,配置hairpin NAT
https://supportforums.cisco.com/thread/2121856
①允许相同接口返回流量
same-security-traffic permit intra-interface 
②定义对象和服务
object network R1-Public
 host 202.100.1.1
object service telnet
 service tcp destination eq 23
object service telnet-outside
 service tcp destination eq 2323
③配置hairpin NAT
nat (inside,inside) source static any interface destination static R1-Public R1 service telnet-outside telnet
④测试,PC1能通过telnet 202.100.1.1 2323登录R2,登录R2后看到的源地址为防火墙内网口地址




本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/1062733,如需转载请自行联系原作者

相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
相关文章
|
5天前
|
开发者 ice
实时云渲染中的NAT转发服务支持个人电脑秒变云渲染服务器
实时云渲染技术广泛应用于XR领域,助力数千客户完成云端部署。平行云推出的转发服务解决了家庭网络动态IP问题,使个人电脑成为实时云渲染服务器,按实际使用分钟数计费,无用户访问不收费。通过配置LarkXR的代理转发Server和ICE Server,开发者可轻松实现互联网访问内网XR应用,极大提升了开发、测试和演示的便利性。
|
2月前
|
JSON Java 测试技术
SpringCloud2023实战之接口服务测试工具SpringBootTest
SpringBootTest同时集成了JUnit Jupiter、AssertJ、Hamcrest测试辅助库,使得更容易编写但愿测试代码。
83 3
|
3月前
|
XML Java Maven
在 Cucumber 测试中自动将 Cucumber 数据表映射到 Java 对象
在 Cucumber 测试中自动将 Cucumber 数据表映射到 Java 对象
78 7
|
3月前
|
网络协议 网络架构
【IP协议】解决 IP 地址不够用的问题(IP地址管理:动态分配、NAT、Ipv6)
【IP协议】解决 IP 地址不够用的问题(IP地址管理:动态分配、NAT、Ipv6)
253 1
|
7月前
|
数据可视化 数据挖掘 定位技术
在服务中收集和测试数据
【6月更文挑战第16天】本文讨论了数据收集和测试的重要性,指出样本量应根据时间和预算调整。数据分析涉及比较结果与假设,可视化数据以增强理解,并通过统计测试确认显著性。设计的持续优化是关键,适应变化的业务、技术和用户需求,数据驱动的方法能提供最佳用户体验。
102 5
在服务中收集和测试数据
|
5月前
|
缓存 Java Maven
SpringCloud基于Eureka的服务治理架构搭建与测试:从服务提供者到消费者的完整流程
Spring Cloud微服务框架中的Eureka是一个用于服务发现和注册的基础组件,它基于RESTful风格,为微服务架构提供了关键的服务注册与发现功能。以下是对Eureka的详细解析和搭建举例。
101 0
|
7月前
|
SQL 监控 中间件
【应急响应】拒绝服务&钓鱼指南&DDOS压力测试&邮件反制分析&应用日志
【应急响应】拒绝服务&钓鱼指南&DDOS压力测试&邮件反制分析&应用日志
|
6月前
|
运维 监控 大数据
部署-Linux01,后端开发,运维开发,大数据开发,测试开发,后端软件,大数据系统,运维监控,测试程序,网页服务都要在Linux中进行部署
部署-Linux01,后端开发,运维开发,大数据开发,测试开发,后端软件,大数据系统,运维监控,测试程序,网页服务都要在Linux中进行部署
|
8月前
|
JSON 监控 安全
LabVIEW测试和调试Web服务
LabVIEW测试和调试Web服务
173 1
|
8月前
|
网络协议 安全
ensp中nat server 公网访问内网服务器
ensp中nat server 公网访问内网服务器
165 1

热门文章

最新文章