asa外网访问内网

① asa的配置

1.外网访问内网一定要NAT，外网跑的都是公网地址，内网地址一定要NAT以后才能发到外网。
2.我不知道你的具体网络架构。不过看你这个内网服务器IP地址，应该是同一个交换机上，如果三层开在交换机上，那只要在交换机上做ACL就可以了。
access-list 100 deny ip host 192.168.1.2 host 192.168.1.4
access-list 100 permit tcp host 192.168.1.2 host 192.168.1.3 eq 3000 如果是UDP将TCP改为UDP即可。这样服务器1只能访问服务器2的3000端口，如有其它访问需求可以自己加
interface XXX XXX为交换机上接服务器1的接口
ip access-group 100 in
如果三层开在防火墙上，就要在防火墙上做配置
access-list 100 deny ip host 192.168.1.2 host 192.168.1.4
access-list 100 permit tcp host 192.168.1.2 host 192.168.1.3 eq 3000
access-group 100 in interface XXXX为服务器所在的安全区域（inside还是dmz）
同理服务器1只能访问服务器2的3000端口，如有其它访问需求可以自己加

3.不可以，下一条会把第一条覆盖掉！

② 思科 asa5520 防火墙，内网怎样才能用外网IP访问内网中对应服务器

定义静态IP映射（也称一对一映射）然后设置ACL，开放相应端口

③ 怎样配置ASA才能实现内网，Dmz和外网啲访问

1.首先路由器上要有到DMZ区100.100.100.0的路由（可以是默认路由）。2.再有就是在ASA上要有到内网192.168.1.0的路由。3.最后是在ASA上放行相关流量就可以了。内网口到DMZ区默认是可以通行的，DMZ区到内网口要手动放行相关流量。比如PING的话就放行icmpanyany,然后应用到DMZ口。

④ cisco ASA防火墙配置将内网的服务器发布到外网，但外网却无法访问

你用的gns3做的模拟，那么你用什么模拟的客户端？ 路由器启用ip http server?
先理顺一下思路，你的sever需要被外网访问的几个条件是什么
1、路由可达，客户端或服务器的默认路由应该指向防火墙（或者用策略路由指向）

2、关键端口的映射，如80 ，23 等等，或者直接采用静态映射。//你在这里使用静态映射，其他暂且不论

3、策略的放行，不管是放行端口还是 直接permit ip any any //这里ok，我记得你之前是有条permit ip any any的。

假定连接模式是 Router(ISP) --- ASA ---Router(Server)
上面三点中，映射有，acl放行（至于acl精细控制，就是开放哪个端口就permit那个端口，其余的deny，既然是实验 permit ip any any也可），所以需要确认的是路由是否可达，server 能否直接ping通 isp的地址
如果使用router 模拟server 应该在server 上面添加 ip route 0.0.0.0 0.0.0.0 防火墙接口地址（网关地址）
ip default-gateway 应该是不起作用的。
我用gns3模拟asa有些问题，暂时做不了环境，生产环境中ios是9.22的，nat配置与acl跟8.x的有些许差异
如果还有问题的话，你给我私信吧，约个时间给你看下。

⑤ asa5510如何让内网电脑通过外网地址访问内网服务器,哪位高手能给我一个详细的配置呢,谢谢!

（1）先在oray申请一个免费域名，并且开通花生壳服务
（2）在电脑上下载一个花生壳软件，登陆以后察看你的域名是否已经激活，若没有激活，就先激活。直接点右键就可以有激活的选项。
（3）路由器的设置：这不是最关键的。
下面介绍的是我用的tplink(TL-R402M)路由器的设置。其他路由器设置原理都和这个差不太多。
a.先登陆你的路由器管理界面（浏览器里输入192.168.1.1，默认的管理员用户名密码都是admin，只要你的路由器密码没有被修改过，就用这个登陆）
b.设置“虚拟服务器”（这个选项可能在不同的路由器中所处的问之不同，你自己可以找找看，我的是在“转发规则”里边的）
你要是只开通了web服务，那就在添加一个信息，内容为：服务端口：80，ip地址：192.168.1.*（*就是你ip的最后一位），协议：tcp，最后再点启用。如果你还想添加ftp服务，那只需要再添加一个端口号为21的，其他设置和上面的web的设置一样。然后就是保存。
c.设置“DMZ主机”
启用DMZ主机，并且在DMZ主机ip地址里写你的地址。保存。

现在路由器已经设置完成了。
（4）本地电脑上要启动花生壳软件。并且激活相关域名的花生壳服务。然后等几分钟，然后在花生壳软件上的第四个选项（IP工具）里查询你的域名状态。前两项不用动，只在最下边输入你的域名，查询出来后下边会显示的域名（name）和地址（address），如果这里的ip和你的公有地址相同（就是你的外网可以看到的ip，不是指192开头的那一个。），那就正常。再ping你的域名，如果能ping通且显示的你的公有ip，那就可以了。
现在只需要你启动你的iis服务，并且设置好iis里的相关项（这里说的相关项和你的花生壳没有关系。你主要就是设置主目录，文档之类的选项，这个就不用我教了吧）

好了，你现在就可以用http://xxx.vicp.net访问你服务器上的网站了。如果你在路由器里21端口也设置了，而且iis里也启动了ftp服务，那就可以用ftp://xxx.vicp.net来访问你的ftp服务器。

⑥ 谁能帮我看一下 ASA防火墙的配置 是是我做的静态NAT 做完之后 外网还是不能访问内网web服务器 分不多 谢谢

你再加一条指向内网的默认路由试试
。。。
ASA开NAT 最初要设置一条nat-control命令
关于默认路由
不是路由器or防火墙更或者三层交换机上面只能设一个
只要你所指的端口不同 你可以指上n条（n等于端口数）
偶所说的对内指静态路由 就是让你对inside端口也做一条默认路由
。。。
另外
你还应该在ACL列表里面做一条
permit tcp any host 10.0.0.1 eq www
而那条permit ip 的 不是可以要求限制IP地址访问的话 可以不用加

⑦ 怎样配置ASA才能实现内网，Dmz和外网的访问

两个方法！
1，在路由器上路由映射
2，在路由器上把你需要被访问的那台内网电脑设置成DMZ主机！

“192.168.1.163:1111”这个前面是IP，后面是端口号，在路由器里面映射的含义是，比如你外网IP是202.202.10.10 那么互联网上访问202.202.10.10，且目标端口号是1111的数据包全转发到你的这台内网电脑上面。

顺便补充下： jincailan 的回答基本是答非所问！花生壳的作用是域名和你的IP绑定，适用于动态IP地址的服务器，因为它会自动更新绑定域名。

⑧ ASA8.4(2)防火墙如何让外网通过域名访问内网web服务器

1、固定IP 这个你申请一个域名指定下IP就可以访问到你的硬件防火墙了。你只需要设置硬件防火墙和WEB服务器在同一个地址段就好了。其他就看你的防火墙的设置了。具体你看防火墙的使用说明。
2、动态IP 这个需要申请一个花生壳类的动态域名的，之后在任意一台24小时开的电脑上安装此类软件。就可以使用动态域名了。之后同上。

⑨ cisco asa5520,需要开通外网能访问内网指定服务器UDP10000-12000端口，请高手指点!谢谢！

你这个服务器是否有公网地址？
如果有公网地址，你只需要在asa的outside接口上放行UDP10000-12000的流量即可。

⑩ 怎样配置ASA才能实现内网，Dmz和外网的访问

建议通show nat 或者show xlate 查看前nat条目
看发配置格式应该 8.4版本前ios
尝试静态nat条目加netmask
例：
static (dmz,outside) 171.16.2.50 192.168.1.200 netmask 255.255.255.255

另permit ip any any 点建议使用acl