Tengo un ASA conectado a la red primaria y me gustaría que hiciera un reenvío de puerto fácil para que cuando una PC intente hacer telnet al ASA en el puerto 500, por ejemplo, el ASA reenvíe la solicitud a un servidor. La topología sería como: 192.168.1.100 (PC) -> 192.168.1.200 (ASA) -> 192.168.1.300 (SERVIDOR)
Entonces, desde mi PC, si hago "telnet 192.168.1.200 500", la solicitud en realidad iría a 192.168.1.300.
Creé una regla nat y habilité la lista de acceso pero no funciona
- lista de acceso eth0_access_in línea 12 permiso extendido grupo de objetos DM_INLINE_SERVICE_3 objeto PC objeto SERVIDOR
- lista de acceso eth0_access_in línea 13 permiso extendido grupo de objetos DM_INLINE_SERVICE_4 objeto SERVIDOR objeto PC
- nat (eth0,eth0) 1 origen estático SERVIDOR SERVIDOR destino estático PC PC servicio tcp-500 tcp-500
Respuesta1
Cisco ASA tiene una limitación con el flujo de tráfico. La interfaz entrante y saliente deben ser diferentes. Estoy hablando de interfaces con nombre. Dos VLAN diferentes en la misma NIC física están bien, pero las entradas y salidas en la misma VLAN, o sin etiquetar en una NIC física, no funcionan.
Aparte de esto, su configuración no funcionará en el nivel TCP. Eliminaré un 0 del último octeto para tener direcciones IP reales.
Initial Packet
192.168.1.10:12345 -> 192.168.1.20:500 (SYN)
Rewrite on ASA
192.168.1.10:12345 -> 192.168.1.30:500 (SYN)
Response from Server
192.168.1.30:500 -> 192.168.1.10:12345 (SYN,ACK)
El cliente recibe este paquete porque no tiene conexión para 192.168.1.30:500 en la tabla de conexiones.
Necesita una fuente nat adicional en su firewall o una ruta de host de 192.168.1.300 a 192.168.1.100 a través del firewall.
Sólo otra nota al margen: espero que sea una configuración de laboratorio. El asa no es compatible desde septiembre de 2018 y el rendimiento de 300 Mbps no es lo último en la actualidad.