Cisco ASAの手動NATについて

私はcisco ASA 5515-xバージョン9.2を稼働しています。私は、私のDVRの80から9006の要求を転送したい。

これは私がしました :

object network obj-10.10.26.6
  host 10.10.26.6
object network obj-203.156.213.173
  host 203.156.213.173
object service port-80
  service tcp source eq 80
object service port-9006
  service tcp destination eq 9006

nat (inside,public-IP) source static obj-10.10.26.6 obj-203.156.213.173 service port-80 port-9006

プールIPでポートフォワーディングを実行すると、次のエラーが表示されます。

pac in public-IP tcp 8.8.8.8 12345 203.156.213.173 9006

結果:

input-interface: Public-IP
input-status: up
input-line-status: up
output-interface: Public-IP
output-status: up
output-line-status: up
Action: drop

Drop-reason: (nat-no-xlate-to-pat-pool) Connection to PAT address without pre-existing xlate

私はここで間違って何をしていますか?なぜこのエラーが発生するのですか?「Drop-reason:(nat-no-xlate-to-pat-pool)既存のxlateのないPATアドレスへの接続。

実際には、201.135.201.73は私のPublic IPであり、203.156.213.173はISPが与えてくれた私のプールIPであり、私の公開IPにルーティング可能です。

0

2 答え

試してください:

no nat (inside,public-IP) source static obj-10.10.26.6 obj-203.156.213.173 service port-80 port-9006

object network obj-10.10.26.6
  host 10.10.26.6
  nat (inside,public-IP) static 203.156.213.173 service tcp port-80 port-9006

(似たようなもの、私はこれをメモリからやっています)。

Or, as I'm guessing that there is another (dynamic) nat statement before your static nat (but I don't have enough reputation yet to ask you in the comments, duh!), re-arrange the order so that the static comes first.

2
追加された

ソースNATを使用している場合は、ポートをsourceに設定する必要があります。

object service port-9006
 service tcp source eq 9006

変換テーブルをクリアします。

clear xlate
0
追加された
ハローマーク。 ....しかし、ファイアウォール内の特定のサービスのために特定のポートを開くことは、宛先NATの一部です。
追加された 著者 cmsjr,
あなたの答えをありがとう。しかし、このことは本当に私を悩ます。完全に理解できません。 Fortigateでは、仮想IPは宛先NAT上で動作します。同様に、パブリックアドレスから来るリモートユーザーは内部に入る必要があるため、特定のタスクのポートをオープンすることは宛先NATの一部であると考えました。私にとっては、NATは内部ユーザーがインターネットに出て行くためのものでした。 @マークこのNATに関する別の質問をするつもりです。そこに私に答えてください。
追加された 著者 cmsjr,
@ de.walkar私はあなたが言っていることを見ている...しかし、それはそのように動作しません。トラフィックは宛先NATであるサーバーに送信されるため、あなたは考えています。 Src/dst NATは、NATステートメントの設定方法によって異なります。あなたがsrcアドレスを変更しているなら.. src NAT。 dstアドレスを変更している場合、そのdst NAT。 ASAでは、srcまたはdst NATのいずれかを使用できますが、同じ効果があります。 (IEではパブIP経由で外部にアクセスできます)。私は通常、ASAで目的地のNATを使用しています。なぜなら、トラフィックフローに関して私の頭の中では意味があるからです。 IOSでは、ソースNATを使用して簡単に見つけることができます。
追加された 著者 かわいい,
@ de.walkarまた、NATはポートを正確にオープンしません。これは、FWに、このポートに到着するトラフィックをどこに送信するかを伝えるだけです。 ACLはポートを開く部分を行います。一般的に、もしあなたが他のものなしで行うなら、それは動作しません...あなたのACLがすべてのトラフィックや何かを許可しない限り。
追加された 著者 かわいい,