Reenvío de puertos en ASA 5510 interno - interno

Reenvío de puertos en ASA 5510 interno - interno

Tengo un ASA conectado a la red primaria y me gustaría que hiciera un reenvío de puerto fácil para que cuando una PC intente hacer telnet al ASA en el puerto 500, por ejemplo, el ASA reenvíe la solicitud a un servidor. La topología sería como: 192.168.1.100 (PC) -> 192.168.1.200 (ASA) -> 192.168.1.300 (SERVIDOR)

Entonces, desde mi PC, si hago "telnet 192.168.1.200 500", la solicitud en realidad iría a 192.168.1.300.

Creé una regla nat y habilité la lista de acceso pero no funciona

  • lista de acceso eth0_access_in línea 12 permiso extendido grupo de objetos DM_INLINE_SERVICE_3 objeto PC objeto SERVIDOR
  • lista de acceso eth0_access_in línea 13 permiso extendido grupo de objetos DM_INLINE_SERVICE_4 objeto SERVIDOR objeto PC
  • nat (eth0,eth0) 1 origen estático SERVIDOR SERVIDOR destino estático PC PC servicio tcp-500 tcp-500

Respuesta1

Cisco ASA tiene una limitación con el flujo de tráfico. La interfaz entrante y saliente deben ser diferentes. Estoy hablando de interfaces con nombre. Dos VLAN diferentes en la misma NIC física están bien, pero las entradas y salidas en la misma VLAN, o sin etiquetar en una NIC física, no funcionan.

Aparte de esto, su configuración no funcionará en el nivel TCP. Eliminaré un 0 del último octeto para tener direcciones IP reales.

Initial Packet 
192.168.1.10:12345 -> 192.168.1.20:500 (SYN) 
Rewrite on ASA 
192.168.1.10:12345 -> 192.168.1.30:500 (SYN) 
Response from Server
192.168.1.30:500 -> 192.168.1.10:12345 (SYN,ACK)

El cliente recibe este paquete porque no tiene conexión para 192.168.1.30:500 en la tabla de conexiones.

Necesita una fuente nat adicional en su firewall o una ruta de host de 192.168.1.300 a 192.168.1.100 a través del firewall.

Sólo otra nota al margen: espero que sea una configuración de laboratorio. El asa no es compatible desde septiembre de 2018 y el rendimiento de 300 Mbps no es lo último en la actualidad.

información relacionada