URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 2235
[ Назад ]

Исходное сообщение
"Проброс портов ASA 5510"
Отправлено exonix , 05-Дек-17 13:35

Разбираюсь с настройкой ASA 5510. До этого с ASA дела не имел, только Каталисты да Cisco 7200. Конфигурация:
System IP Addresses:
Interface                Name                   IP address      Subnet mask     Method
Ethernet0/0              WAN                    10.254.1.200    255.255.255.0   CONFIG
Ethernet0/1              LAN-MSP                172.16.16.254   255.255.255.0   CONFIG
Ethernet0/3              LAN-AD                 10.255.8.254    255.255.255.0   CONFIG
object network NUC-16
host 172.16.16.222
object network LAN-MSP
subnet 172.16.16.0 255.255.255.0
object network NUC-8
host 10.255.8.222
object network LAN-AD
subnet 10.255.8.0 255.255.255.0
access-list ALLOW-LAN extended permit ip any any
access-list ALLOW-RDP-NUC-16 extended permit tcp any object NUC-16 eq 3389
access-list ALLOW-RDP-NUC-8 extended permit tcp any object NUC-8 eq 3388
object network NUC-16
nat (LAN-MSP,WAN) static interface service tcp 3389 3389
object network LAN-MSP
nat (LAN-MSP,WAN) dynamic interface
object network NUC-8
nat (LAN-AD,WAN) static interface service tcp 3389 3388
object network LAN-AD
nat (LAN-AD,WAN) dynamic interface
access-group ALLOW-RDP-NUC-16 in interface WAN
access-group ALLOW-LAN in interface LAN-MSP
access-group ALLOW-LAN in interface LAN-AD
route WAN 0.0.0.0 0.0.0.0 10.254.1.1 1
При такой конфигурации:
- работает проброс порта 3389 (RDP) на хост NUC-16.
- не работает проброс порта 3388 на 3389 на хост NUC-8
Если привязать правило ALLOW-RDP-NUC-8 на интерфейс WAN, то доступ по RDP к хосту NUC-16 пропадает потому, что это правило перезаписывает правило ALLOW-RDP-NUC-8 (я не могу одновременно привязать два правила на WAN интерфейс. Почему?)
Как правильно пробросить порты для двух хостов в разных сетях?
Как правильно пробросить не станртные порты? Например, при обращении к WAN на порт 3388 был проброс на порт 3389 на клиенте?
Надеюсь, я смог понятно объяснить ситуацию и задачу.
Спасибо!

Содержание

Проброс портов ASA 5510,exonix, 14:52 , 05-Дек-17
Проброс портов ASA 5510,zanswer CCNA RS and S, 18:42 , 05-Дек-17

Сообщения в этом обсуждении

"Проброс портов ASA 5510"
Отправлено exonix , 05-Дек-17 14:52

другими словами, я хочу сделать так как на 7206, но на ASA:
ip nat inside source static tcp 192.168.1.100 22 87.x.x.x 22 
ip nat inside source static tcp 192.168.1.200 22 87.x.x.x 2222

"Проброс портов ASA 5510"
Отправлено zanswer CCNA RS and S , 05-Дек-17 18:42

>[оверквотинг удален]
> - работает проброс порта 3389 (RDP) на хост NUC-16.
> - не работает проброс порта 3388 на 3389 на хост NUC-8
> Если привязать правило ALLOW-RDP-NUC-8 на интерфейс WAN, то доступ по RDP к
> хосту NUC-16 пропадает потому, что это правило перезаписывает правило ALLOW-RDP-NUC-8
> (я не могу одновременно привязать два правила на WAN интерфейс. Почему?)
> Как правильно пробросить порты для двух хостов в разных сетях?
> Как правильно пробросить не станртные порты? Например, при обращении к WAN на
> порт 3388 был проброс на порт 3389 на клиенте?
> Надеюсь, я смог понятно объяснить ситуацию и задачу.
> Спасибо!
В ASA действует ровно такое же правило, как и в IOS, один Access List per Interface, per Protocol, per Direction.
Команда access-group назначает access-list для заданного интерфейса и направления.
Поэтому создайте новый access-list и задайте два ACE в нём, после назначьте его WAN интерфейсу.