ASA가 기본 네트워크에 연결되어 있고 PC가 포트 500에서 ASA에 텔넷을 시도할 때 ASA가 요청을 서버로 전달할 수 있도록 간편한 포트 전달을 수행하고 싶습니다. 토폴로지는 192.168.1.100(PC) -> 192.168.1.200(ASA) -> 192.168.1.300(SERVER)과 같습니다.
따라서 내 PC에서 "telnet 192.168.1.200 500"을 수행하면 요청은 실제로 192.168.1.300으로 이동합니다.
NAT 규칙을 만들고 액세스 목록을 활성화했지만 작동하지 않습니다.
- access-list eth0_access_in 12행 확장 허가 객체 그룹 DM_INLINE_SERVICE_3 객체 PC 객체 SERVER
- access-list eth0_access_in 13행 확장 허가 객체 그룹 DM_INLINE_SERVICE_4 객체 SERVER 객체 PC
- nat (eth0,eth0) 1 소스 정적 SERVER SERVER 대상 정적 PC PC 서비스 tcp-500 tcp-500
답변1
Cisco ASA에는 트래픽 흐름에 제한이 있습니다. 들어오는 인터페이스와 나가는 인터페이스는 달라야 합니다. 저는 명명된 인터페이스에 대해 이야기하고 있습니다. 동일한 물리적 NIC에 있는 두 개의 다른 VLAN은 괜찮지만 동일한 VLAN에서 들어오고 나가거나 물리적 NIC에 태그가 지정되지 않은 경우 작동하지 않습니다.
이 외에도 설정은 TCP 수준에서 작동하지 않습니다. 실제 IP 주소를 갖기 위해 마지막 옥텟에서 하나의 0을 제거하겠습니다.
Initial Packet
192.168.1.10:12345 -> 192.168.1.20:500 (SYN)
Rewrite on ASA
192.168.1.10:12345 -> 192.168.1.30:500 (SYN)
Response from Server
192.168.1.30:500 -> 192.168.1.10:12345 (SYN,ACK)
클라이언트는 연결 테이블에 192.168.1.30:500에 대한 연결이 없기 때문에 이 패킷을 받습니다.
방화벽에 추가 소스 NAT가 필요하거나 방화벽을 통해 192.168.1.300에서 192.168.1.100으로의 호스트 경로가 필요합니다.
또 다른 참고 사항: 이것이 실험실 설정이기를 바랍니다. asa는 2018년 9월부터 지원이 중단되었으며 현재 300Mbps 처리량은 최신 기술이 아닙니다.