プライマリ ネットワークに接続された ASA があり、簡単なポート転送を行いたいので、たとえば PC がポート 500 で ASA に Telnet しようとしたときに、ASA が要求をサーバーに転送します。トポロジは次のようになります: 192.168.1.100 (PC) -> 192.168.1.200 (ASA) -> 192.168.1.300 (サーバー)
私のPCから「telnet 192.168.1.200 500」を実行すると、リクエストは実際には192.168.1.300に送信されます。
NATルールを作成し、アクセスリストを有効にしましたが、機能しません
- アクセスリスト eth0_access_in 行 12 拡張許可 オブジェクトグループ DM_INLINE_SERVICE_3 オブジェクト PC オブジェクト SERVER
- アクセスリスト eth0_access_in 行 13 拡張許可 オブジェクトグループ DM_INLINE_SERVICE_4 オブジェクト SERVER オブジェクト PC
- nat (eth0,eth0) 1 送信元 静的 SERVER SERVER 送信先 静的 PC PC サービス tcp-500 tcp-500
答え1
Cisco ASA にはトラフィック フローに関する制限があります。着信インターフェイスと発信インターフェイスは異なっている必要があります。名前付きインターフェイスについてお話します。同じ物理 NIC 上の 2 つの異なる VLAN は問題ありませんが、同じ VLAN での着信と発信、または物理 NIC 上のタグなしは機能しません。
これとは別に、この設定は TCP レベルでは機能しません。実際の IP アドレスを取得するには、最後のオクテットから 0 を 1 つ削除します。
Initial Packet
192.168.1.10:12345 -> 192.168.1.20:500 (SYN)
Rewrite on ASA
192.168.1.10:12345 -> 192.168.1.30:500 (SYN)
Response from Server
192.168.1.30:500 -> 192.168.1.10:12345 (SYN,ACK)
クライアントは、接続テーブルに 192.168.1.30:500 の接続がないため、このパケットを受信します。
ファイアウォール上に追加のソース NAT を追加するか、ファイアウォール経由で 192.168.1.300 から 192.168.1.100 へのホスト ルートが必要です。
もう一つの補足: これはラボのセットアップであることを願っています。ASA は 2018 年 9 月以降サポートされておらず、300 Mbps のスループットは今日では最先端のものではありません。