forum.opennet.ru - "Помогите разобраться с трансляцией портов на Cisco ASA 5505" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Помогите разобраться с трансляцией портов на Cisco ASA 5505"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Помогите разобраться с трансляцией портов на Cisco ASA 5505"		+/–
Сообщение от Damerson (ok) on 22-Июн-09, 15:46
Пользователи из локальной сети ходят в инет через ASA 5505 10.10.10.0/24 -- ASA -- inet Необходимо настроить нат на ASA таким образом, чтобы пользователь открыв соединение по дефолтному порту RDP(234.243.100.13:3389) попадал на нестандартный порт (234.243.100.13:65003) на любом FreeBSD роутере это делается в две - три команды, как это выполнить на ASA, даже не представляю. Пока родил что-то вроде: nat-control access-list inside_nat_static_2 line 1 extended permit tcp host 192.168.3.101 eq 3389 234.243.100.13 255.255.255.255 static (inside,inside) tcp interface 65003 access-list inside_nat_static_2 tcp 0 0 udp 0
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Помогите разобраться с трансляцией портов на Cisco ASA 5505, Andrew, 21:01 , 23-Июн-09, (1)

Помогите разобраться с трансляцией портов на Cisco ASA 5505, Damerson, 13:35 , 24-Июн-09, (2)

Помогите разобраться с трансляцией портов на Cisco ASA 5505, Damerson, 10:29 , 25-Июн-09, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "Помогите разобраться с трансляцией портов на Cisco ASA 5505" +/–

Сообщение от Andrew (??) on 23-Июн-09, 21:01

>[оверквотинг удален]
>роутере это делается в две - три команды, как это выполнить
>на ASA, даже не представляю.
>
>Пока родил что-то вроде:
>
>nat-control
>      access-list inside_nat_static_2 line 1 extended permit
>tcp host 192.168.3.101 eq 3389 234.243.100.13 255.255.255.255
>      static (inside,inside)  tcp interface 65003
>access-list inside_nat_static_2 tcp 0 0 udp 0
Примерно так.
sh run static
static (dmz,outside) tcp interface www 192.168.2.10 www netmask 255.255.255.255
static (inside,outside) tcp interface 7780 192.168.0.40 7780 netmask 255.255.255.255
static (dmz,outside) tcp interface 3389 192.168.2.10 3389 netmask 255.255.255.255
static (dmz,outside) tcp interface domain 192.168.2.10 domain netmask 255.255.255.255
static (dmz,outside) udp interface domain 192.168.2.10 domain netmask 255.255.255.255
static (inside,outside) tcp interface sqlnet 192.168.0.45 sqlnet netmask 255.255.255.255
static (inside,outside) tcp interface 7777 192.168.0.45 ssh netmask 255.255.255.255
static (inside,outside) tcp interface 121 192.168.0.45 ftp netmask 255.255.255.255
static (inside,outside) tcp interface 122 192.168.0.41 ftp netmask 255.255.255.255
static (inside,outside) tcp interface 1158 192.168.0.45 1158 netmask 255.255.255.255
static (inside,outside) tcp interface 8888 192.168.0.77 ssh netmask 255.255.255.255
static (inside,outside) tcp interface 9000 192.168.0.77 www netmask 255.255.255.255
static (inside,outside) tcp interface smtp 192.168.0.77 smtp netmask 255.255.255.255

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Помогите разобраться с трансляцией портов на Cisco ASA 5505" +/–

Сообщение от Damerson (ok) on 24-Июн-09, 13:35

>[оверквотинг удален]
>static (dmz,outside) tcp interface domain 192.168.2.10 domain netmask 255.255.255.255
>static (dmz,outside) udp interface domain 192.168.2.10 domain netmask 255.255.255.255
>static (inside,outside) tcp interface sqlnet 192.168.0.45 sqlnet netmask 255.255.255.255
>static (inside,outside) tcp interface 7777 192.168.0.45 ssh netmask 255.255.255.255
>static (inside,outside) tcp interface 121 192.168.0.45 ftp netmask 255.255.255.255
>static (inside,outside) tcp interface 122 192.168.0.41 ftp netmask 255.255.255.255
>static (inside,outside) tcp interface 1158 192.168.0.45 1158 netmask 255.255.255.255
>static (inside,outside) tcp interface 8888 192.168.0.77 ssh netmask 255.255.255.255
>static (inside,outside) tcp interface 9000 192.168.0.77 www netmask 255.255.255.255
>static (inside,outside) tcp interface smtp 192.168.0.77 smtp netmask 255.255.255.255
=0) Мне нужно не опубликовать порт наружу. Мне нужно пользователя из внутренней сети при обращении на внешний IP по 3389 перебрасывать на 65003.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Помогите разобраться с трансляцией портов на Cisco ASA 5505" +/–

Сообщение от Damerson (ok) on 25-Июн-09, 10:29

Конфиг:
: Saved
: Written by enable_15 at 10:02:22.291 UTC Thu Jun 25 2009
!
ASA Version 7.2(4)
!
hostname gw
domain-name gw.local
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
name 192.168.3.5 Printer
name 62.34.59.189 kc
name 81.13.215.34 Local_out
name 192.168.3.61 RDP1
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.3.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address Local_out 255.255.255.252
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name gw.local
object-group service Printer tcp
port-object eq 9100
object-group service rdp tcp
port-object eq 3389
object-group service rdp_kc tcp
port-object eq 65003
access-list outside_access_in extended permit tcp kc 255.255.255.240 host Local_out object-group Printer
access-list outside_access_in extended permit tcp kc 255.255.255.240 host Local_out eq www
access-list inside_nat_static extended permit tcp host RDP1 eq 3389 kc 255.255.255.240
access-list inside_nat_outbound extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
asdm location Printer 255.255.255.255 inside
asdm location kc 255.255.255.240 inside
asdm location Local_out 255.255.255.255 inside
asdm location RDP1 255.255.255.255 inside
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 access-list inside_nat_outbound
static (inside,outside) tcp interface 9100 Printer 9100 netmask 255.255.255.255
static (inside,outside) tcp interface www Printer www netmask 255.255.255.255
static (inside,inside) tcp interface 65003 access-list inside_nat_static  norandomseq
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 81.13.100.33 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
http server enable
http 195.68.129.66 255.255.255.255 outside
http kc 255.255.255.240 outside
http 192.168.3.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
!
dhcpd address 192.168.3.50-192.168.3.100 inside
dhcpd dns 194.67.160.3 194.67.161.1 interface inside
dhcpd enable inside
!
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:f0016682ee4351b565690a5fb0e617e9
Нужно чтобы  хост RDP1 (192.168.3.61) при обращении к кс (62.34.59.189) по 3389 порту, мапился на порт 65003. Я попытался сделать это средствами Static Policy. Вывод пакет трейсера утверждает, что мапится все нормально, но при попытке подключения клиент все так-же улетает напрямую на стандартный порт, следуя дефолтному правилу ната.
Вывод пакет трейсера:
packet-tracer input inside tcp 192.168.3.61 3389 62.34.59.189 3389
Phase: 1
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   0.0.0.0         0.0.0.0         outside
Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 4
Type: NAT
Subtype: host-limits
Result: ALLOW
Config:
static (inside,outside) tcp interface 65003 access-list inside_nat_static
nat-control
  match tcp inside host RDP1 eq 3389 outside kc 255.255.255.240
    static translation to Local_out/65003
    translate_hits = 0, untranslate_hits = 0
Additional Information:
Phase: 5
Type: NAT
Subtype:
Result: ALLOW
Config:
nat (inside) 1 access-list inside_nat_outbound
nat-control
  match ip inside any outside any
    dynamic translation to pool 1 (Local_out [Interface PAT])
    translate_hits = 27524, untranslate_hits = 186
Additional Information:
Dynamic translate RDP1/3389 to Local_out/1884 using netmask 255.255.255.255
Phase: 6
Type: HOST-LIMIT
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 7
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 8
Type: FLOW-CREATION
Subtype:
Result: ALLOW
Config:
Additional Information:
New flow created with id 28334, packet dispatched to next module
Phase: 9
Type: ROUTE-LOOKUP
Subtype: output and adjacency
Result: ALLOW
Config:
Additional Information:
found next-hop 81.13.215.33 using egress ifc outside
adjacency Active
next-hop mac address 000c.f18f.7a30 hits 63642
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow

Вопрос собственно в следующем -- где я ошибся? =0)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Помогите разобраться с трансляцией портов на Cisco ASA 5505"		+/–
Сообщение от Andrew (??) on 23-Июн-09, 21:01
>[оверквотинг удален] >роутере это делается в две - три команды, как это выполнить >на ASA, даже не представляю. > >Пока родил что-то вроде: > >nat-control > access-list inside_nat_static_2 line 1 extended permit >tcp host 192.168.3.101 eq 3389 234.243.100.13 255.255.255.255 > static (inside,inside) tcp interface 65003 >access-list inside_nat_static_2 tcp 0 0 udp 0 Примерно так. sh run static static (dmz,outside) tcp interface www 192.168.2.10 www netmask 255.255.255.255 static (inside,outside) tcp interface 7780 192.168.0.40 7780 netmask 255.255.255.255 static (dmz,outside) tcp interface 3389 192.168.2.10 3389 netmask 255.255.255.255 static (dmz,outside) tcp interface domain 192.168.2.10 domain netmask 255.255.255.255 static (dmz,outside) udp interface domain 192.168.2.10 domain netmask 255.255.255.255 static (inside,outside) tcp interface sqlnet 192.168.0.45 sqlnet netmask 255.255.255.255 static (inside,outside) tcp interface 7777 192.168.0.45 ssh netmask 255.255.255.255 static (inside,outside) tcp interface 121 192.168.0.45 ftp netmask 255.255.255.255 static (inside,outside) tcp interface 122 192.168.0.41 ftp netmask 255.255.255.255 static (inside,outside) tcp interface 1158 192.168.0.45 1158 netmask 255.255.255.255 static (inside,outside) tcp interface 8888 192.168.0.77 ssh netmask 255.255.255.255 static (inside,outside) tcp interface 9000 192.168.0.77 www netmask 255.255.255.255 static (inside,outside) tcp interface smtp 192.168.0.77 smtp netmask 255.255.255.255
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Помогите разобраться с трансляцией портов на Cisco ASA 5505"		+/–
	Сообщение от Damerson (ok) on 24-Июн-09, 13:35
	>[оверквотинг удален] >static (dmz,outside) tcp interface domain 192.168.2.10 domain netmask 255.255.255.255 >static (dmz,outside) udp interface domain 192.168.2.10 domain netmask 255.255.255.255 >static (inside,outside) tcp interface sqlnet 192.168.0.45 sqlnet netmask 255.255.255.255 >static (inside,outside) tcp interface 7777 192.168.0.45 ssh netmask 255.255.255.255 >static (inside,outside) tcp interface 121 192.168.0.45 ftp netmask 255.255.255.255 >static (inside,outside) tcp interface 122 192.168.0.41 ftp netmask 255.255.255.255 >static (inside,outside) tcp interface 1158 192.168.0.45 1158 netmask 255.255.255.255 >static (inside,outside) tcp interface 8888 192.168.0.77 ssh netmask 255.255.255.255 >static (inside,outside) tcp interface 9000 192.168.0.77 www netmask 255.255.255.255 >static (inside,outside) tcp interface smtp 192.168.0.77 smtp netmask 255.255.255.255 =0) Мне нужно не опубликовать порт наружу. Мне нужно пользователя из внутренней сети при обращении на внешний IP по 3389 перебрасывать на 65003.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Помогите разобраться с трансляцией портов на Cisco ASA 5505"		+/–
	Сообщение от Damerson (ok) on 25-Июн-09, 10:29
	Конфиг: : Saved : Written by enable_15 at 10:02:22.291 UTC Thu Jun 25 2009 ! ASA Version 7.2(4) ! hostname gw domain-name gw.local enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names name 192.168.3.5 Printer name 62.34.59.189 kc name 81.13.215.34 Local_out name 192.168.3.61 RDP1 ! interface Vlan1 nameif inside security-level 100 ip address 192.168.3.1 255.255.255.0 ! interface Vlan2 nameif outside security-level 0 ip address Local_out 255.255.255.252 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 ! interface Ethernet0/2 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 ! interface Ethernet0/6 ! interface Ethernet0/7 ! ftp mode passive dns server-group DefaultDNS domain-name gw.local object-group service Printer tcp port-object eq 9100 object-group service rdp tcp port-object eq 3389 object-group service rdp_kc tcp port-object eq 65003 access-list outside_access_in extended permit tcp kc 255.255.255.240 host Local_out object-group Printer access-list outside_access_in extended permit tcp kc 255.255.255.240 host Local_out eq www access-list inside_nat_static extended permit tcp host RDP1 eq 3389 kc 255.255.255.240 access-list inside_nat_outbound extended permit ip any any pager lines 24 logging enable logging asdm informational mtu outside 1500 mtu inside 1500 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-524.bin asdm location Printer 255.255.255.255 inside asdm location kc 255.255.255.240 inside asdm location Local_out 255.255.255.255 inside asdm location RDP1 255.255.255.255 inside no asdm history enable arp timeout 14400 nat-control global (outside) 1 interface nat (inside) 1 access-list inside_nat_outbound static (inside,outside) tcp interface 9100 Printer 9100 netmask 255.255.255.255 static (inside,outside) tcp interface www Printer www netmask 255.255.255.255 static (inside,inside) tcp interface 65003 access-list inside_nat_static norandomseq access-group outside_access_in in interface outside route outside 0.0.0.0 0.0.0.0 81.13.100.33 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute http server enable http 195.68.129.66 255.255.255.255 outside http kc 255.255.255.240 outside http 192.168.3.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd auto_config outside ! dhcpd address 192.168.3.50-192.168.3.100 inside dhcpd dns 194.67.160.3 194.67.161.1 interface inside dhcpd enable inside ! ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum:f0016682ee4351b565690a5fb0e617e9 Нужно чтобы хост RDP1 (192.168.3.61) при обращении к кс (62.34.59.189) по 3389 порту, мапился на порт 65003. Я попытался сделать это средствами Static Policy. Вывод пакет трейсера утверждает, что мапится все нормально, но при попытке подключения клиент все так-же улетает напрямую на стандартный порт, следуя дефолтному правилу ната. Вывод пакет трейсера: packet-tracer input inside tcp 192.168.3.61 3389 62.34.59.189 3389 Phase: 1 Type: FLOW-LOOKUP Subtype: Result: ALLOW Config: Additional Information: Found no matching flow, creating a new flow Phase: 2 Type: ROUTE-LOOKUP Subtype: input Result: ALLOW Config: Additional Information: in 0.0.0.0 0.0.0.0 outside Phase: 3 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 4 Type: NAT Subtype: host-limits Result: ALLOW Config: static (inside,outside) tcp interface 65003 access-list inside_nat_static nat-control match tcp inside host RDP1 eq 3389 outside kc 255.255.255.240 static translation to Local_out/65003 translate_hits = 0, untranslate_hits = 0 Additional Information: Phase: 5 Type: NAT Subtype: Result: ALLOW Config: nat (inside) 1 access-list inside_nat_outbound nat-control match ip inside any outside any dynamic translation to pool 1 (Local_out [Interface PAT]) translate_hits = 27524, untranslate_hits = 186 Additional Information: Dynamic translate RDP1/3389 to Local_out/1884 using netmask 255.255.255.255 Phase: 6 Type: HOST-LIMIT Subtype: Result: ALLOW Config: Additional Information: Phase: 7 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 8 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 28334, packet dispatched to next module Phase: 9 Type: ROUTE-LOOKUP Subtype: output and adjacency Result: ALLOW Config: Additional Information: found next-hop 81.13.215.33 using egress ifc outside adjacency Active next-hop mac address 000c.f18f.7a30 hits 63642 Result: input-interface: inside input-status: up input-line-status: up output-interface: outside output-status: up output-line-status: up Action: allow Вопрос собственно в следующем -- где я ошибся? =0)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору