У меня есть ASA, подключенный к основной сети, и я хотел бы, чтобы он делал простую переадресацию портов, так что когда ПК пытается подключиться к ASA через telnet на порт 500, например, ASA перенаправлял запрос на сервер. Топология будет такой: 192.168.1.100 (ПК) -> 192.168.1.200 (ASA) -> 192.168.1.300 (СЕРВЕР)
Итак, если я на своем ПК наберу "telnet 192.168.1.200 500", запрос на самом деле отправится на 192.168.1.300
Я создал правило NAT и включил список доступа, но оно не работает.
- access-list eth0_access_in строка 12 расширенное разрешение object-group DM_INLINE_SERVICE_3 объект ПК объект СЕРВЕР
- access-list eth0_access_in строка 13 расширенное разрешение object-group DM_INLINE_SERVICE_4 объект SERVER объект PC
- nat (eth0,eth0) 1 источник статический СЕРВЕР СЕРВЕР назначение статический ПК ПК служба tcp-500 tcp-500
решение1
Cisco ASA имеет ограничение на поток трафика. Входящий и исходящий интерфейсы должны быть разными. Я говорю об именованных интерфейсах. Два разных vlan на одном физическом nic — это нормально, но входящий и исходящий в одном vlan или немаркированный на физическом nic не работает.
Помимо этого, ваша настройка не будет работать на уровне TCP. Я удалю один 0 из последнего октета, чтобы получить реальные IP-адреса.
Initial Packet
192.168.1.10:12345 -> 192.168.1.20:500 (SYN)
Rewrite on ASA
192.168.1.10:12345 -> 192.168.1.30:500 (SYN)
Response from Server
192.168.1.30:500 -> 192.168.1.10:12345 (SYN,ACK)
Клиент получает этот пакет, поскольку в таблице подключений нет соединения для 192.168.1.30:500.
Вам нужен либо дополнительный источник NAT на вашем брандмауэре, либо маршрут хоста от 192.168.1.300 до 192.168.1.100 через брандмауэр.
Еще одно замечание: надеюсь, это лабораторная установка. ASA не поддерживается с сентября 2018 года, а пропускная способность в 300 Мбит/с — это не самое современное достижение.