端口映射几种配置

设备：ASA、Firepower2100系列

内网服务IP:172.17.135.240  端口号：9000

公网IP：103.198.199.200   映射后的端口号 59000

白名单公网IP：18.18.18.200

------------------------------------配置一---------------------------------

步骤一、定义object和nat

object network Server01

host 172.17.135.240

nat (inside,outside) static 103.198.199.200 service tcp 9000 59000 

步骤二、定义一个object-group

object-group service Server-9000

service-object tcp destination eq 9000

object-group service PC1-outside-ISP

network-object host 18.18.18.200

步骤三、定义ACL

access-list 100 extended permit object-group Server-9000 any any

(可选)access-list 100 extended permit ip object-group PC1-outside-ISP host 172.23.14.206

步骤四、将定义的ACL应有在access-group及指定的公网接口为nameif的outside

access-group 100 in interface outside

------------------------------------配置二---------------------------------

第二种配置和第一种配置相比更加灵活，体现在步骤二

步骤一、定义object和nat

object network Server01

host 172.17.135.240

nat (inside,outside) static 103.198.199.200

步骤二、定义一个object-group

object-group service Server-9000    //这里可以开放更多服务端口，不限于1个

service-object tcp destination eq 9000

service-object tcp destination eq 22

service-object tcp destination eq 1731

步骤三、定义ACL

access-list 100 extended permit object-group Server-9000 any any

步骤四、将定义的ACL应有在access-group及指定的公网接口为nameif的outside

access-group 100 in interface outside

------------------------------------配置三---------------------------------

object network Server01

host 172.17.135.240

nat (cctv,outside3) static 134.159.235.70 service tcp 8000 8000

object-group service Server-9000

service-object tcp destination eq 9000

access-list 100 extended permit tcp any host 172.17.135.240 eq 9000

access-group 100 in interface outside

如果对外部访问服务器的ip需要加白，该如何做？

原配置 access-list 100 extended permit object-group Server-9000 any any

新配置  access-list 100 extended permit object-group Server-9000 object-group Trust-ip any

再定义一个object-group用来存放信任ip

object-group service Trust-ip

network-object host 61.253.12.1

network-object host 202.120.142.3

network-object 194.66.220.0 255.255.255.0

具体操作步骤如下：

1、首先点击[系统偏好设置]选项。

2、然后单击[网络]选项。

3、请参阅红色圆圈，它是当前计算机的内网 IP。

4、然后单击浏览器选项。

5、然后您可以再次输入路由器IP。

6、然后单击[更多功能]选项。

7、上面记住的内部网络IP输入地址。

8、然后单击端口选项。

9、然后选择要映射的端口，例如80。

10、然后单击外部网络端口以设置外部网络的端口。

11、设置并点击确定，设置为端口映射。

---