Ich habe eine ASA mit dem primären Netzwerk verbunden und möchte, dass sie eine einfache Portweiterleitung durchführt, sodass, wenn ein PC beispielsweise versucht, die ASA über Port 500 per Telnet zu erreichen, die ASA die Anfrage an einen Server weiterleitet. Die Topologie wäre dann wie folgt: 192.168.1.100 (PC) -> 192.168.1.200 (ASA) -> 192.168.1.300 (SERVER)
Wenn ich also von meinem PC aus "telnet 192.168.1.200 500" eingebe, würde die Anfrage tatsächlich an 192.168.1.300 gehen
Ich habe eine NAT-Regel erstellt und die Zugriffsliste aktiviert, aber es funktioniert nicht
- Zugriffsliste eth0_access_in Zeile 12 erweiterte Erlaubnis Objektgruppe DM_INLINE_SERVICE_3 Objekt PC-Objekt SERVER
- Zugriffsliste eth0_access_in Zeile 13 erweiterte Erlaubnis Objektgruppe DM_INLINE_SERVICE_4 Objekt SERVER Objekt PC
- nat (eth0,eth0) 1 Quelle statisch SERVER SERVER Ziel statisch PC PC Dienst tcp-500 tcp-500
Antwort1
Die Cisco ASA hat eine Einschränkung beim Datenverkehr. Die eingehende und die ausgehende Schnittstelle müssen unterschiedlich sein. Ich spreche von benannten Schnittstellen. Zwei verschiedene VLANs auf derselben physischen Netzwerkkarte sind in Ordnung, aber eingehende und ausgehende Verbindungen im selben VLAN oder ungetaggte Verbindungen auf einer physischen Netzwerkkarte funktionieren nicht.
Abgesehen davon funktioniert Ihr Setup nicht auf TCP-Ebene. Ich werde eine 0 aus dem letzten Oktett entfernen, um echte IP-Adressen zu erhalten.
Initial Packet
192.168.1.10:12345 -> 192.168.1.20:500 (SYN)
Rewrite on ASA
192.168.1.10:12345 -> 192.168.1.30:500 (SYN)
Response from Server
192.168.1.30:500 -> 192.168.1.10:12345 (SYN,ACK)
Der Client empfängt dieses Paket, da er in der Verbindungstabelle keine Verbindung für 192.168.1.30:500 hat.
Sie benötigen entweder ein zusätzliches Source-NAT auf Ihrer Firewall oder eine Host-Route von 192.168.1.300 nach 192.168.1.100 über die Firewall.
Nur noch eine Randbemerkung: Ich hoffe, dies ist ein Laboraufbau. Der ASA wird seit September 2018 nicht mehr unterstützt und der Durchsatz von 300 Mbit/s ist heutzutage nicht mehr auf dem neuesten Stand der Technik.