查看:1361|回复：5
目前刚刚入手一台ASA5505防火墙，想要将内网的一台web服务器80口发布到公网，总是不成功求指点。
ASDM的NAT设置截图如下
(46.86 KB)
(18.74 KB)
使用命令如下
hostname(config)# object network my-Web-serverhostname(config-network-object)# host 192.168.1.250
hostname(config-network-object)# nat (inside,outside) static interface service tcp 80 80ACL配置为默认如下
(24.99 KB)
请各位老师帮小弟看下，或者教小弟如何在ASDM中配置让公网IP可以直接访问此WEB服务器，先感谢各位大佬！！
论坛首席搬砖工程师
抛开防火墙不说，你公网的ip80端口做备案了么，如果没有的话就算你防火墙做成功了，没有备案一样没用。。。
51CTO信息安全交流群:论坛最受欢迎版主评选活动，欢迎大家2号一票，
引用:原帖由 lover119 于
22:07 发表
抛开防火墙不说，你公网的ip80端口做备案了么，如果没有的话就算你防火墙做成功了，没有备案一样没用。。。 谢谢版主回复，我之前用软路由的时候是可以正常访问的，我打算把ASA配置成功后去做域名申请以及备案。
另外劳烦老大帮忙看看防火墙如何操作才能发布成功？郁闷了一周了。。。
你要在outside端口的acl上允许外网访问你所发布公网IP的80端口
8.4版本的 用端口转换就可以了&&static （inside，outside）外部ip 端口&&内部ip 端口& & 我比较懒的做法&&
否则就是标准做法 acl开放端口 nat设置转换
引用:原帖由 lirno 于
14:38 发表
8.4版本的 用端口转换就可以了&&static （inside，outside）外部ip 端口&&内部ip 端口& & 我比较懒的做法&&
否则就是标准做法 acl开放端口 nat设置转换 您好感谢您的帮助当我尝试使用static来进行端口转换时提示this syntax of nat command has been deprecated，好像这条命令在8.4上已经不能用了。&&思科ASA5505的端口配置
思科ASA5505的端口配置
配置了两个vlan，vlan1 是本机的10.1.1.1，vlan2是外网的。做了个nat。 nat (inside) 1 0.0.0.0 0.0.0.0 怎么进行端口映射，放开我想要的端口，其他禁止？
转换： ciscoasa(config)# nat (inside) 1 10.1.1.0 255.255.255.0 ciscoasa(config)# global (outside) 1 interface （复用接口地址） 放行： ciscoasa(config)# access-list out permit tcp any interface outside eq 80 （放行80端口） ciscoasa(config)# access-group out in interface outside（将列表应用在outside接口的in方向上）
提问者的感言：谢谢您的解答！
问答为您推荐
市场价：暂无
网友正在问
||||||||||
Copyright (C)
Yesky.com, All Rights Reserved 版权所有 天极网络豆丁微信公众号
君，已阅读到文档的结尾了呢~~
精品：外网访问内网 内网外网同时上 内网和外网 内网能上外网不能上 内网与外网 内网外网 外网如何访问内网 内网和外网的区别 ip内网外网 内网变外网
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
实验三cisco防火墙asa5505从内网访问外网服务(真实防火墙)
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='http://www.docin.com/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口查看:7046|回复：27
型号: cisco ASA5505
e0/0: VLAN2& &出口 接电信 PPPOE宽带拨号
e0/1: VLAN1&&局域网 网关ip 10.1.8.1 掩码 255.255.255.0
连接公司A: ip:10.1.2.0 公司B:10.1.5.0
用临时获取的IP 在两边都做好了VPN , 但是只是临时的.
因为办事处这边是宽带拨号的, 所以重启一次IP就会变一次.
求动态IP 连接公司VPN的办法和思路..
本来想用花生壳域名解析, 可是ASDM不能添加域名.
不知道终端下可不可行..
求高手帮帮忙 . 谢谢了。。
以下是目前的配置情况:
ASA Version 7.2(4)
hostname zytest
domain-name default.domain.invalid
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
interface Vlan1
nameif ZYin
security-level 100
ip address 10.1.8.1 255.255.255.0
interface Vlan2
nameif ZYout
security-level 0
pppoe client vpdn group ZYMY
ip address pppoe setroute
interface Ethernet0/0
switchport access vlan 2
interface Ethernet0/1
interface Ethernet0/2
interface Ethernet0/3
interface Ethernet0/4
interface Ethernet0/5
interface Ethernet0/6
interface Ethernet0/7
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
access-list ZYout_1_cryptomap extended permit ip 10.1.8.0 255.255.255.0 10.1.5.0
255.255.255.0
access-list ZYout-to-ZYin extended permit icmp any any echo-reply
access-list ZYout_access_in extended permit ip any any
access-list ZYin_access_in extended permit ip any any
access-list ZYin_nat0_outbound extended permit ip 10.1.8.0 255.255.255.0 10.1.2.
0 255.255.255.0
access-list ZYin_nat0_outbound extended permit ip 10.1.8.0 255.255.255.0 10.1.5.
0 255.255.255.0
access-list ZYout_cryptomap_3 extended permit ip 10.1.8.0 255.255.255.0 10.1.2.0
255.255.255.0
pager lines 24
logging enable
logging asdm informational
mtu ZYin 1500
mtu ZYout 1492
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
global (ZYout) 1 interface
nat (ZYin) 0 access-list ZYin_nat0_outbound
nat (ZYin) 1 0.0.0.0 0.0.0.0
access-group ZYin_access_in in interface ZYin
access-group ZYout_access_in in interface ZYout
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
http server enable
http 10.1.2.0 255.255.255.0 ZYout
http 10.1.5.0 255.255.255.0 ZYin
http 0.0.0.0 0.0.0.0 ZYout
http 192.168.1.0 255.255.255.0 ZYin
http 0.0.0.0 0.0.0.0 ZYin
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map ZYout_map 1 match address ZYout_1_cryptomap
crypto map ZYout_map 1 set pfs
crypto map ZYout_map 1 set peer 117.40.199.xxx
crypto map ZYout_map 1 set transform-set ESP-3DES-SHA
crypto map ZYout_map 3 match address ZYout_cryptomap_3
crypto map ZYout_map 3 set pfs
crypto map ZYout_map 3 set peer 117.40.188.xxx
crypto map ZYout_map 3 set transform-set ESP-3DES-SHA
crypto map ZYout_map interface ZYout
crypto isakmp enable ZYin
crypto isakmp enable ZYout
crypto isakmp policy 10
authentication pre-share
encryption 3des
lifetime 86400
telnet 10.1.8.0 255.255.255.0 ZYin
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group ZYMY request dialout pppoe
vpdn group ZYMY localname xxxxxxxxxxxx
vpdn group ZYMY ppp authentication pap
vpdn group pppoe request dialout pppoe
vpdn group pppoe localname
vpdn group pppoe ppp authentication pap
vpdn username xxxxxxxxxxxx password xxxxxxxxxxxx
vpdn username
password xxxxxxxxxxxx
dhcpd auto_config ZYout
dhcpd address 10.1.8.100-10.1.8.150 ZYin
dhcpd dns 202.101.224.68 202.101.224.69 interface ZYin
dhcpd enable ZYin
username zhouyong password QFY2.fl.0muJTodP encrypted
username cisco password 3USUcOPFUiMCO4Jk encrypted
tunnel-group 117.40.199.xxx type ipsec-l2l
tunnel-group 117.40.199.xxx ipsec-attributes
pre-shared-key *
tunnel-group 117.40.188.xxx type ipsec-l2l
tunnel-group 117.40.188.xxx ipsec-attributes
pre-shared-key *
class-map inspection_default
match default-inspection-traffic
policy-map type inspect dns preset_dns_map
parameters
&&message-length maximum 512
policy-map global_policy
class inspection_default
&&inspect dns preset_dns_map
&&inspect ftp
&&inspect h323 h225
&&inspect h323 ras
&&inspect rsh
&&inspect rtsp
&&inspect esmtp
&&inspect sqlnet
&&inspect skinny
&&inspect sunrpc
&&inspect xdmcp
&&inspect sip
&&inspect netbios
&&inspect tftp
&&inspect icmp
service-policy global_policy global
prompt hostname context
Cryptochecksum:4dc5fed59a26f4ba7df54
---------------------------------------------------------------------------------------------------------------
附件是ASDM配置临时VPN的图.. （这边是临时获取的IP，不是固定IP）
ASDM好像必须要配固定IP 0.0.0.0 和域名都不可以呢..
(28.25 KB)
(56.24 KB)
(18.83 KB)
本帖最后由 icer303 于
14:00 编辑
:(mars_24):& &高手都睡觉了吗...
帮帮忙啊.. 这个晚上必须搞好 。。
:(mars_25):&&起了大早 ..
在线等高手 帮忙看看..
引用:原帖由 icer303 于
23:16 发表
:(mars_24):& &高手都睡觉了吗...
帮帮忙啊.. 这个晚上必须搞好 。。 首先你没有放行ICMP返回的流量
access-l ZYout-to-ZYin permit icmp any any echo-reply
access-g ZYout-to-ZYin in interface ZYout
再在深度检测中添加ICMP
policy-map global_policy
class inspection_default
& &inspect dns preset_dns_map
inspect icmp
ZYout的mtu最好设置1492
引用:原帖由 xiaobaozi998877 于
09:17 发表
首先你没有放行ICMP返回的流量
access-l ZYout-to-ZYin permit icmp any any echo-reply
access-g ZYout-to-ZYin in interface ZYout
再在深度检测中添加ICMP
policy-map global_policy
class inspection_defau ... ZYout的mtu 设1492 我看了帖子，说把8个留给自己..
ICMP是什么啊？我看别人的帖子里 没讲这个..
最有价值午饭
引用:原帖由 icer303 于
09:23 发表
ZYout的mtu 设1492 我看了帖子，说把8个留给自己..
ICMP是什么啊？我看别人的帖子里 没讲这个.. 就是你说的PING喽，要想PING通就要开通ICMP
谢谢, 现在已经可以了..
不过是加了一个ZYin的通道.
朋友帮忙弄的.. 不开这个就 ping不通 一开就通了..
还是谢谢. 下面是开启通道的截图.
本帖最后由 icer303 于
10:53 编辑
中级工程师
谢谢楼主的帖子，有图有真相，有空还请把最后的配置能够帖上来，让大伙学习下~~
~~开始疯狂的实验~~
& && && &&&在路上
引用:原帖由 NSTcisco 于
11:20 发表
谢谢楼主的帖子，有图有真相，有空还请把最后的配置能够帖上来，让大伙学习下~~ OK. 最后的配置.
已经可以正常拨号上网.
并且用临时的IP 可以连接公司做VPN内网互通..
可以还有个问题 就是因为这边是拨号上的，
重启一次 IP就变一次.
不可能每重启一次 就再公司那边改下IP.
本来想通过花生壳解析, 在公司那边连域名, 可是不可以加域名 只能加IP..
同时也寻求能够解决的办法.
麻烦高手帮帮忙.. 谢谢
本帖最后由 icer303 于
13:35 编辑
最有价值午饭
access-list ZYin_access_in extended permit ip any any
就是因为有了这句才通的
引用:原帖由 jung_blue 于
13:34 发表
access-list ZYin_access_in extended permit ip any any
就是因为有了这句才通的 多谢..
请问要用这动态IP连接公司固定IP的VPN，如何实现呢?
现在用临时获取的IP已经通了..
可是要用动态IP如何实现呢?
高手, 送佛送到西吧..&&感激..
最有价值午饭
公司那边的设备的crypto map里设置set peer 0.0.0.0
引用:原帖由 jung_blue 于
13:47 发表
公司那边的设备的crypto map里设置set peer 0.0.0.0 set peer 设0.0.0.0
我在ASDM上配置 提示：IP address 0.0.0.0 is not allowed.
好像非要加一个固定的IP才行 域名都不可以
最有价值午饭
不要固定peer的static policy， 要dynamic policy
引用:原帖由 jung_blue 于
14:25 发表
不要固定peer的static policy， 要dynamic policy - -!!&&好大压力啊..
我是用ASDM配的临时ip..
能给出动态VPN的实现思路和命令么..&&谢谢..
要做动态IP的VPN, 用动态加密图,例如下面,再试试
crypto ipsec transform-set myset esp-des esp-md5-hmac&&
crypto dynamic-map cisco 1 set transform-set myset
crypto map dyn-map 20 ipsec-isakmp dynamic cisco
crypto map dyn-map interface outside
tunnel-group DefaultL2LGroup type ipsec-l2l
tunnel-group DefaultL2LGroup general-attributes
& &authentication-server-group none
tunnel-group DefaultL2LGroup ipsec-attributes
& &pre-shared-key *
最有价值午饭
引用:原帖由 icer303 于
14:29 发表
- -!!&&好大压力啊..
我是用ASDM配的临时ip..
能给出动态VPN的实现思路和命令么..&&谢谢.. ASDM也可以做动态policy啊
(75.43 KB)
引用:原帖由 charliemao 于
14:32 发表
要做动态IP的VPN, 用动态加密图,例如下面,再试试
crypto ipsec transform-set myset esp-des esp-md5-hmac&&
crypto dynamic-map cisco 1 set transform-set myset
crypto map dyn-map 20 ipsec-isakmp dynamic cis ... 请问 这个是添加在办事处这边的拨号路由 还是公司那边固定的IP ?
如果是办事处这边的路由 那是不是要指定公司的固定IP外网以及内网给它?
公司那边是静态IP,你这边是办事处用的是ADSL线路,用动态IP地址. 这样两个点的site to site 就是一边静态一边动态了, 可以参考:
中级工程师
引用:原帖由 icer303 于
14:41 发表
请问 这个是添加在办事处这边的拨号路由 还是公司那边固定的IP ?
如果是办事处这边的路由 那是不是要指定公司的固定IP外网以及内网给它? 同意你的说法。Cisco asa5505已经配置可以上外网了，但是无法Ping通外网，应该怎么设置_百度知道
Cisco asa5505已经配置可以上外网了，但是无法Ping通外网，应该怎么设置
另Cisco asa5505可以对每个IP限流设置吗？
我有更好的答案
asa最新的OS是支持QoS的，无法PING通外网的话可能是ICMP没开，可以在inside和outside口上吧ICMP放开一下
采纳率：17%
为您推荐：
其他类似问题
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。