ASA 5510 内部のポート転送 - 内部

ASA 5510 内部のポート転送 - 内部

プライマリ ネットワークに接続された ASA があり、簡単なポート転送を行いたいので、たとえば PC がポート 500 で ASA に Telnet しようとしたときに、ASA が要求をサーバーに転送します。トポロジは次のようになります: 192.168.1.100 (PC) -> 192.168.1.200 (ASA) -> 192.168.1.300 (サーバー)

私のPCから「telnet 192.168.1.200 500」を実行すると、リクエストは実際には192.168.1.300に送信されます。

NATルールを作成し、アクセスリストを有効にしましたが、機能しません

  • アクセスリスト eth0_access_in 行 12 拡張許可 オブジェクトグループ DM_INLINE_SERVICE_3 オブジェクト PC オブジェクト SERVER
  • アクセスリスト eth0_access_in 行 13 拡張許可 オブジェクトグループ DM_INLINE_SERVICE_4 オブジェクト SERVER オブジェクト PC
  • nat (eth0,eth0) 1 送信元 静的 SERVER SERVER 送信先 静的 PC PC サービス tcp-500 tcp-500

答え1

Cisco ASA にはトラフィック フローに関する制限があります。着信インターフェイスと発信インターフェイスは異なっている必要があります。名前付きインターフェイスについてお話します。同じ物理 NIC 上の 2 つの異なる VLAN は問題ありませんが、同じ VLAN での着信と発信、または物理 NIC 上のタグなしは機能しません。

これとは別に、この設定は TCP レベルでは機能しません。実際の IP アドレスを取得するには、最後のオクテットから 0 を 1 つ削除します。

Initial Packet 
192.168.1.10:12345 -> 192.168.1.20:500 (SYN) 
Rewrite on ASA 
192.168.1.10:12345 -> 192.168.1.30:500 (SYN) 
Response from Server
192.168.1.30:500 -> 192.168.1.10:12345 (SYN,ACK)

クライアントは、接続テーブルに 192.168.1.30:500 の接続がないため、このパケットを受信します。

ファイアウォール上に追加のソース NAT を追加するか、ファイアウォール経由で 192.168.1.300 から 192.168.1.100 へのホスト ルートが必要です。

もう一つの補足: これはラボのセットアップであることを願っています。ASA は 2018 年 9 月以降サポートされておらず、300 Mbps のスループットは今日では最先端のものではありません。

関連情報