我有一個連接到主網路的 ASA,我希望它能夠執行簡單的連接埠轉發,以便當 PC 嘗試在連接埠 500 上遠端登入 ASA 時,ASA 會將請求轉發到伺服器。拓樸如下:192.168.1.100 (PC) -> 192.168.1.200 (ASA) -> 192.168.1.300 (SERVER)
因此,如果我從我的電腦執行“telnet 192.168.1.200 500”,請求實際上會發送到 192.168.1.300
我創建了一條 nat 規則並啟用了訪問列表,但它不起作用
- 存取清單 eth0_access_in 第 12 行 擴充許可物件群組 DM_INLINE_SERVICE_3 物件 PC 物件 SERVER
- 存取清單 eth0_access_in 第 13 行擴充許可物件群組 DM_INLINE_SERVICE_4 物件 SERVER 物件 PC
- nat (eth0,eth0) 1 來源靜態 SERVER SERVER 目標靜態 PC PC 服務 tcp-500 tcp-500
答案1
Cisco ASA 對流量有限制。入接口和出接口必須不同。我說的是命名介面。同一實體網卡上的兩個不同 VLAN 正常,但同一 VLAN 中的傳入和傳出或實體網卡上的未標記不起作用。
除此之外,您的設定將無法在 TCP 等級上運作。我將從最後一個八位元組中刪除一個 0 以獲取真實的 IP 位址。
Initial Packet
192.168.1.10:12345 -> 192.168.1.20:500 (SYN)
Rewrite on ASA
192.168.1.10:12345 -> 192.168.1.30:500 (SYN)
Response from Server
192.168.1.30:500 -> 192.168.1.10:12345 (SYN,ACK)
用戶端收到此封包是因為它在連接表中沒有 192.168.1.30:500 的連線。
您需要在防火牆上新增一個額外的來源 nat,或透過防火牆從 192.168.1.300 到 192.168.1.100 的主機路由。
另一個附註:我希望這是一個實驗室設置。 asa 自 2018 年 9 月起不再支持,300Mbps 吞吐量也不是當今最先進的。