asa外網訪問內網

① asa的配置

1.外網訪問內網一定要NAT，外網跑的都是公網地址，內網地址一定要NAT以後才能發到外網。
2.我不知道你的具體網路架構。不過看你這個內網伺服器IP地址，應該是同一個交換機上，如果三層開在交換機上，那隻要在交換機上做ACL就可以了。
access-list 100 deny ip host 192.168.1.2 host 192.168.1.4
access-list 100 permit tcp host 192.168.1.2 host 192.168.1.3 eq 3000 如果是UDP將TCP改為UDP即可。這樣伺服器1隻能訪問伺服器2的3000埠，如有其它訪問需求可以自己加
interface XXX XXX為交換機上接伺服器1的介面
ip access-group 100 in
如果三層開在防火牆上，就要在防火牆上做配置
access-list 100 deny ip host 192.168.1.2 host 192.168.1.4
access-list 100 permit tcp host 192.168.1.2 host 192.168.1.3 eq 3000
access-group 100 in interface XXXX為伺服器所在的安全區域（inside還是dmz）
同理伺服器1隻能訪問伺服器2的3000埠，如有其它訪問需求可以自己加

3.不可以，下一條會把第一條覆蓋掉！

② 思科 asa5520 防火牆，內網怎樣才能用外網IP訪問內網中對應伺服器

定義靜態IP映射（也稱一對一映射）然後設置ACL，開放相應埠

③ 怎樣配置ASA才能實現內網，Dmz和外網啲訪問

1.首先路由器上要有到DMZ區100.100.100.0的路由（可以是默認路由）。2.再有就是在ASA上要有到內網192.168.1.0的路由。3.最後是在ASA上放行相關流量就可以了。內網口到DMZ區默認是可以通行的，DMZ區到內網口要手動放行相關流量。比如PING的話就放行icmpanyany,然後應用到DMZ口。

④ cisco ASA防火牆配置將內網的伺服器發布到外網，但外網卻無法訪問

你用的gns3做的模擬，那麼你用什麼模擬的客戶端？ 路由器啟用ip http server?
先理順一下思路，你的sever需要被外網訪問的幾個條件是什麼
1、路由可達，客戶端或伺服器的默認路由應該指向防火牆（或者用策略路由指向）

2、關鍵埠的映射，如80 ，23 等等，或者直接採用靜態映射。//你在這里使用靜態映射，其他暫且不論

3、策略的放行，不管是放行埠還是 直接permit ip any any //這里ok，我記得你之前是有條permit ip any any的。

假定連接模式是 Router(ISP) --- ASA ---Router(Server)
上面三點中，映射有，acl放行（至於acl精細控制，就是開放哪個埠就permit那個埠，其餘的deny，既然是實驗 permit ip any any也可），所以需要確認的是路由是否可達，server 能否直接ping通 isp的地址
如果使用router 模擬server 應該在server 上面添加 ip route 0.0.0.0 0.0.0.0 防火牆介面地址（網關地址）
ip default-gateway 應該是不起作用的。
我用gns3模擬asa有些問題，暫時做不了環境，生產環境中ios是9.22的，nat配置與acl跟8.x的有些許差異
如果還有問題的話，你給我私信吧，約個時間給你看下。

⑤ asa5510如何讓內網電腦通過外網地址訪問內網伺服器,哪位高手能給我一個詳細的配置呢,謝謝!

（1）先在oray申請一個免費域名，並且開通花生殼服務
（2）在電腦上下載一個花生殼軟體，登陸以後察看你的域名是否已經激活，若沒有激活，就先激活。直接點右鍵就可以有激活的選項。
（3）路由器的設置：這不是最關鍵的。
下面介紹的是我用的tplink(TL-R402M)路由器的設置。其他路由器設置原理都和這個差不太多。
a.先登陸你的路由器管理界面（瀏覽器里輸入192.168.1.1，默認的管理員用戶名密碼都是admin，只要你的路由器密碼沒有被修改過，就用這個登陸）
b.設置「虛擬伺服器」（這個選項可能在不同的路由器中所處的問之不同，你自己可以找找看，我的是在「轉發規則」里邊的）
你要是只開通了web服務，那就在添加一個信息，內容為：服務埠：80，ip地址：192.168.1.*（*就是你ip的最後一位），協議：tcp，最後再點啟用。如果你還想添加ftp服務，那隻需要再添加一個埠號為21的，其他設置和上面的web的設置一樣。然後就是保存。
c.設置「DMZ主機」
啟用DMZ主機，並且在DMZ主機ip地址里寫你的地址。保存。

現在路由器已經設置完成了。
（4）本地電腦上要啟動花生殼軟體。並且激活相關域名的花生殼服務。然後等幾分鍾，然後在花生殼軟體上的第四個選項（IP工具）里查詢你的域名狀態。前兩項不用動，只在最下邊輸入你的域名，查詢出來後下邊會顯示的域名（name）和地址（address），如果這里的ip和你的公有地址相同（就是你的外網可以看到的ip，不是指192開頭的那一個。），那就正常。再ping你的域名，如果能ping通且顯示的你的公有ip，那就可以了。
現在只需要你啟動你的iis服務，並且設置好iis里的相關項（這里說的相關項和你的花生殼沒有關系。你主要就是設置主目錄，文檔之類的選項，這個就不用我教了吧）

好了，你現在就可以用http://xxx.vicp.net訪問你伺服器上的網站了。如果你在路由器里21埠也設置了，而且iis里也啟動了ftp服務，那就可以用ftp://xxx.vicp.net來訪問你的ftp伺服器。

⑥ 誰能幫我看一下 ASA防火牆的配置 是是我做的靜態NAT 做完之後 外網還是不能訪問內網web伺服器 分不多 謝謝

你再加一條指向內網的默認路由試試
。。。
ASA開NAT 最初要設置一條nat-control命令
關於默認路由
不是路由器or防火牆更或者三層交換機上面只能設一個
只要你所指的埠不同 你可以指上n條（n等於埠數）
偶所說的對內指靜態路由 就是讓你對inside埠也做一條默認路由
。。。
另外
你還應該在ACL列表裡面做一條
permit tcp any host 10.0.0.1 eq www
而那條permit ip 的 不是可以要求限制IP地址訪問的話 可以不用加

⑦ 怎樣配置ASA才能實現內網，Dmz和外網的訪問

兩個方法！
1，在路由器上路由映射
2，在路由器上把你需要被訪問的那台內網電腦設置成DMZ主機！

「192.168.1.163:1111」這個前面是IP，後面是埠號，在路由器裡面映射的含義是，比如你外網IP是202.202.10.10 那麼互聯網上訪問202.202.10.10，且目標埠號是1111的數據包全轉發到你的這台內網電腦上面。

順便補充下： jincailan 的回答基本是答非所問！花生殼的作用是域名和你的IP綁定，適用於動態IP地址的伺服器，因為它會自動更新綁定域名。

⑧ ASA8.4(2)防火牆如何讓外網通過域名訪問內網web伺服器

1、固定IP 這個你申請一個域名指定下IP就可以訪問到你的硬體防火牆了。你只需要設置硬體防火牆和WEB伺服器在同一個地址段就好了。其他就看你的防火牆的設置了。具體你看防火牆的使用說明。
2、動態IP 這個需要申請一個花生殼類的動態域名的，之後在任意一台24小時開的電腦上安裝此類軟體。就可以使用動態域名了。之後同上。

⑨ cisco asa5520,需要開通外網能訪問內網指定伺服器UDP10000-12000埠，請高手指點!謝謝！

你這個伺服器是否有公網地址？
如果有公網地址，你只需要在asa的outside介面上放行UDP10000-12000的流量即可。

⑩ 怎樣配置ASA才能實現內網，Dmz和外網的訪問

建議通show nat 或者show xlate 查看前nat條目
看發配置格式應該 8.4版本前ios
嘗試靜態nat條目加netmask
例：
static (dmz,outside) 171.16.2.50 192.168.1.200 netmask 255.255.255.255

另permit ip any any 點建議使用acl