本站已运行 15年10天22小时26分48秒

攻城狮论坛

作者: zscj1982
查看: 667|回复: 4

主题标签Tag

more +今日重磅推荐Recommend No.1

所有IT类厂商认证考试题库下载所有IT类厂商认证考试题库下载

more +随机图赏Gallery

【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器

[安全] 请教ASA防火墙处理流程如何,是先路由,还是先NAT

[复制链接]
查看: 667|回复: 4
开通VIP 免金币+免回帖+批量下载+无广告
如题,请教一下ASA防火墙的处理流程,数据包经过接口后是先路由还是先进行NAT。( e# ~/ R0 @0 I$ x
另外一个问题请教一下,网络架构大致如下:
  c5 [( B: \0 o9 X) T' U: `总部主机10.24.4.16------------------->内部映射地址20.2.1.22 防火墙  外部映射地址60.2.1.2--------------------------->外部服务器10.8.18.5
" V: v( E+ |' R总部主机10.24.4.16需要访问10.8.18.5的1414端口,内部将10.8.18.5映射成20.2.1.22,外部将10.24.4.16映射成60.2.1.2,总部服务器去访问的时候目的地址是20.2.1.22这个IP,外部服务器去访问的时候目的地址是60.2.1.2这个IP,具体的配置如下,请各位帮忙看下是否正确。
# r" q5 V1 x( ~% H4 s& ]  _0 _5 fobject network zb_10.24.4.16, p/ a4 F7 u; a% t# ?
  host 10.24.4.16
8 w& b# i% m, xobject network zb_nat_60.2.1.2$ {# ~0 D5 d' Q6 H0 a' d
  host 60.2.1.2) m# @" v; h" d$ R7 b& L
object network wl_nat_20.2.1.22& `. q: c( Z# d7 y+ `& N
  host 20.2.1.22" b2 K2 q" _) q0 D* w) S9 z8 W
object network wl_10.8.18.5
/ g1 _9 b- N# S  k9 W( F+ b  host 10.8.18.5
; `, p& ^4 w1 K. ^* Z/ O" Q9 ~access-list oa-in permit tcp host  zb_10.24.4.16 host wl_10.8.18.5 eq 1414 log  (这个acl中目的地址是写实际地址还是写映射后的地址?也就是是否为access-list oa-in permit tcp host  zb_10.24.4.16 host wl_nat_20.2.1.22 eq 1414 log)如果是第一种方式的话数据包进入防火墙后是先去找路由了还是先去做nat了?
$ k+ d9 v  J( v2 S+ w- R6 xnat (inside,outside) source static zb_10.24.4.16 zb_nat_60.2.1.2 destination static wl_nat_20.2.1.22  wl_10.8.18.5

评分

参与人数 1金币 +50 收起 理由
admin + 50 支持技术贴!

查看全部评分

CCNA考试 官方正规报名 仅需1500元
回复 论坛版权

举报

xiaoduan [Lv5 不断成长] 发表于 2016-11-17 00:33:54 | 显示全部楼层
你知道么? 通过论坛客服报名CCNA,CCNP,CCIE 最高可省2000元培训费. 联系QQ 80766391;
回复 支持 反对

举报

zscj1982 [Lv5 不断成长] 发表于 2016-11-17 10:41:49 | 显示全部楼层
经我实际环境测试双向映射的acl是按照这个写法才是正确的access-list oa-in permit tcp host  zb_10.24.4.16 host wl_10.8.18.5 eq 1414 log,但是就是有点搞不清楚数据包进入防火墙后的执行顺序,从ASDM数据包追踪中看到的是先NAT了
回复 支持 反对

举报

Rockyw [Lv10 举世无双] 发表于 2016-11-17 11:30:33 | 显示全部楼层
acl的执行顺序跟它是在入接口还是出接口有关
回复 支持 反对

举报

lihaolibing [Lv7 精益求精] 发表于 2016-11-17 21:24:12 | 显示全部楼层
楼主真给力,看过资料后受益匪浅,,真心给赞
回复 支持 反对

举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|无图浏览|手机版|网站地图|攻城狮论坛

GMT+8, 2025-7-26 22:22 , Processed in 0.104627 second(s), 18 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.

Designed by ARTERY.cn