The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Помогите разобраться с трансляцией портов на Cisco ASA 5505, !*! Damerson, 22-Июн-09, 15:46  [смотреть все]
Пользователи из локальной сети ходят в инет через ASA 5505
10.10.10.0/24 -- ASA -- inet
Необходимо настроить нат на ASA таким образом, чтобы пользователь открыв соединение по дефолтному порту RDP(234.243.100.13:3389) попадал на нестандартный порт (234.243.100.13:65003) на любом FreeBSD роутере это делается в две - три команды, как это выполнить на ASA, даже не представляю.

Пока родил что-то вроде:

nat-control
      access-list inside_nat_static_2 line 1 extended permit tcp host 192.168.3.101 eq 3389 234.243.100.13 255.255.255.255
      static (inside,inside)  tcp interface 65003 access-list inside_nat_static_2 tcp 0 0 udp 0

Ответить | Сообщить модератору
  • Помогите разобраться с трансляцией портов на Cisco ASA 5505, !*! Andrew, 21:01 , 23-Июн-09 (1)
    >[оверквотинг удален]
    >роутере это делается в две - три команды, как это выполнить
    >на ASA, даже не представляю.
    >
    >Пока родил что-то вроде:
    >
    >nat-control
    >      access-list inside_nat_static_2 line 1 extended permit
    >tcp host 192.168.3.101 eq 3389 234.243.100.13 255.255.255.255
    >      static (inside,inside)  tcp interface 65003
    >access-list inside_nat_static_2 tcp 0 0 udp 0

    Примерно так.

    sh run static
    static (dmz,outside) tcp interface www 192.168.2.10 www netmask 255.255.255.255
    static (inside,outside) tcp interface 7780 192.168.0.40 7780 netmask 255.255.255.255
    static (dmz,outside) tcp interface 3389 192.168.2.10 3389 netmask 255.255.255.255
    static (dmz,outside) tcp interface domain 192.168.2.10 domain netmask 255.255.255.255
    static (dmz,outside) udp interface domain 192.168.2.10 domain netmask 255.255.255.255
    static (inside,outside) tcp interface sqlnet 192.168.0.45 sqlnet netmask 255.255.255.255
    static (inside,outside) tcp interface 7777 192.168.0.45 ssh netmask 255.255.255.255
    static (inside,outside) tcp interface 121 192.168.0.45 ftp netmask 255.255.255.255
    static (inside,outside) tcp interface 122 192.168.0.41 ftp netmask 255.255.255.255
    static (inside,outside) tcp interface 1158 192.168.0.45 1158 netmask 255.255.255.255
    static (inside,outside) tcp interface 8888 192.168.0.77 ssh netmask 255.255.255.255
    static (inside,outside) tcp interface 9000 192.168.0.77 www netmask 255.255.255.255
    static (inside,outside) tcp interface smtp 192.168.0.77 smtp netmask 255.255.255.255

    Ответить | Сообщить модератору
    • Помогите разобраться с трансляцией портов на Cisco ASA 5505, !*! Damerson, 13:35 , 24-Июн-09 (2)
      >[оверквотинг удален]
      >static (dmz,outside) tcp interface domain 192.168.2.10 domain netmask 255.255.255.255
      >static (dmz,outside) udp interface domain 192.168.2.10 domain netmask 255.255.255.255
      >static (inside,outside) tcp interface sqlnet 192.168.0.45 sqlnet netmask 255.255.255.255
      >static (inside,outside) tcp interface 7777 192.168.0.45 ssh netmask 255.255.255.255
      >static (inside,outside) tcp interface 121 192.168.0.45 ftp netmask 255.255.255.255
      >static (inside,outside) tcp interface 122 192.168.0.41 ftp netmask 255.255.255.255
      >static (inside,outside) tcp interface 1158 192.168.0.45 1158 netmask 255.255.255.255
      >static (inside,outside) tcp interface 8888 192.168.0.77 ssh netmask 255.255.255.255
      >static (inside,outside) tcp interface 9000 192.168.0.77 www netmask 255.255.255.255
      >static (inside,outside) tcp interface smtp 192.168.0.77 smtp netmask 255.255.255.255

      =0) Мне нужно не опубликовать порт наружу. Мне нужно пользователя из внутренней сети при обращении на внешний IP по 3389 перебрасывать на 65003.

      Ответить | Сообщить модератору
      • Помогите разобраться с трансляцией портов на Cisco ASA 5505, !*! Damerson, 10:29 , 25-Июн-09 (3)
        Конфиг:
        : Saved
        : Written by enable_15 at 10:02:22.291 UTC Thu Jun 25 2009
        !
        ASA Version 7.2(4)
        !
        hostname gw
        domain-name gw.local
        enable password 8Ry2YjIyt7RRXU24 encrypted
        passwd 2KFQnbNIdI.2KYOU encrypted
        names
        name 192.168.3.5 Printer
        name 62.34.59.189 kc
        name 81.13.215.34 Local_out
        name 192.168.3.61 RDP1
        !
        interface Vlan1
        nameif inside
        security-level 100
        ip address 192.168.3.1 255.255.255.0
        !
        interface Vlan2
        nameif outside
        security-level 0
        ip address Local_out 255.255.255.252
        !
        interface Ethernet0/0
        switchport access vlan 2
        !
        interface Ethernet0/1
        !
        interface Ethernet0/2
        !
        interface Ethernet0/3
        !
        interface Ethernet0/4
        !
        interface Ethernet0/5
        !
        interface Ethernet0/6
        !
        interface Ethernet0/7
        !
        ftp mode passive
        dns server-group DefaultDNS
        domain-name gw.local
        object-group service Printer tcp
        port-object eq 9100
        object-group service rdp tcp
        port-object eq 3389
        object-group service rdp_kc tcp
        port-object eq 65003
        access-list outside_access_in extended permit tcp kc 255.255.255.240 host Local_out object-group Printer
        access-list outside_access_in extended permit tcp kc 255.255.255.240 host Local_out eq www
        access-list inside_nat_static extended permit tcp host RDP1 eq 3389 kc 255.255.255.240
        access-list inside_nat_outbound extended permit ip any any
        pager lines 24
        logging enable
        logging asdm informational
        mtu outside 1500
        mtu inside 1500
        icmp unreachable rate-limit 1 burst-size 1
        asdm image disk0:/asdm-524.bin
        asdm location Printer 255.255.255.255 inside
        asdm location kc 255.255.255.240 inside
        asdm location Local_out 255.255.255.255 inside
        asdm location RDP1 255.255.255.255 inside
        no asdm history enable
        arp timeout 14400
        nat-control
        global (outside) 1 interface
        nat (inside) 1 access-list inside_nat_outbound
        static (inside,outside) tcp interface 9100 Printer 9100 netmask 255.255.255.255
        static (inside,outside) tcp interface www Printer www netmask 255.255.255.255
        static (inside,inside) tcp interface 65003 access-list inside_nat_static  norandomseq
        access-group outside_access_in in interface outside
        route outside 0.0.0.0 0.0.0.0 81.13.100.33 1
        timeout xlate 3:00:00
        timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
        timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
        timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
        timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
        http server enable
        http 195.68.129.66 255.255.255.255 outside
        http kc 255.255.255.240 outside
        http 192.168.3.0 255.255.255.0 inside
        no snmp-server location
        no snmp-server contact
        snmp-server enable traps snmp authentication linkup linkdown coldstart
        telnet timeout 5
        ssh timeout 5
        console timeout 0
        dhcpd auto_config outside
        !
        dhcpd address 192.168.3.50-192.168.3.100 inside
        dhcpd dns 194.67.160.3 194.67.161.1 interface inside
        dhcpd enable inside
        !

        !
        class-map inspection_default
        match default-inspection-traffic
        !
        !
        policy-map type inspect dns preset_dns_map
        parameters
          message-length maximum 512
        policy-map global_policy
        class inspection_default
          inspect dns preset_dns_map
          inspect ftp
          inspect h323 h225
          inspect h323 ras
          inspect rsh
          inspect rtsp
          inspect esmtp
          inspect sqlnet
          inspect skinny
          inspect sunrpc
          inspect xdmcp
          inspect sip
          inspect netbios
          inspect tftp
        !
        service-policy global_policy global
        prompt hostname context
        Cryptochecksum:f0016682ee4351b565690a5fb0e617e9

        Нужно чтобы  хост RDP1 (192.168.3.61) при обращении к кс (62.34.59.189) по 3389 порту, мапился на порт 65003. Я попытался сделать это средствами Static Policy. Вывод пакет трейсера утверждает, что мапится все нормально, но при попытке подключения клиент все так-же улетает напрямую на стандартный порт, следуя дефолтному правилу ната.

        Вывод пакет трейсера:

        packet-tracer input inside tcp 192.168.3.61 3389 62.34.59.189 3389

        Phase: 1
        Type: FLOW-LOOKUP
        Subtype:
        Result: ALLOW
        Config:
        Additional Information:
        Found no matching flow, creating a new flow

        Phase: 2
        Type: ROUTE-LOOKUP
        Subtype: input
        Result: ALLOW
        Config:
        Additional Information:
        in   0.0.0.0         0.0.0.0         outside

        Phase: 3
        Type: IP-OPTIONS
        Subtype:
        Result: ALLOW
        Config:
        Additional Information:

        Phase: 4
        Type: NAT
        Subtype: host-limits
        Result: ALLOW
        Config:
        static (inside,outside) tcp interface 65003 access-list inside_nat_static
        nat-control
          match tcp inside host RDP1 eq 3389 outside kc 255.255.255.240
            static translation to Local_out/65003
            translate_hits = 0, untranslate_hits = 0
        Additional Information:

        Phase: 5
        Type: NAT
        Subtype:
        Result: ALLOW
        Config:
        nat (inside) 1 access-list inside_nat_outbound
        nat-control
          match ip inside any outside any
            dynamic translation to pool 1 (Local_out [Interface PAT])
            translate_hits = 27524, untranslate_hits = 186
        Additional Information:
        Dynamic translate RDP1/3389 to Local_out/1884 using netmask 255.255.255.255

        Phase: 6
        Type: HOST-LIMIT
        Subtype:
        Result: ALLOW
        Config:
        Additional Information:

        Phase: 7
        Type: IP-OPTIONS
        Subtype:
        Result: ALLOW
        Config:
        Additional Information:

        Phase: 8
        Type: FLOW-CREATION
        Subtype:
        Result: ALLOW
        Config:
        Additional Information:
        New flow created with id 28334, packet dispatched to next module

        Phase: 9
        Type: ROUTE-LOOKUP
        Subtype: output and adjacency
        Result: ALLOW
        Config:
        Additional Information:
        found next-hop 81.13.215.33 using egress ifc outside
        adjacency Active
        next-hop mac address 000c.f18f.7a30 hits 63642

        Result:
        input-interface: inside
        input-status: up
        input-line-status: up
        output-interface: outside
        output-status: up
        output-line-status: up
        Action: allow


        Вопрос собственно в следующем -- где я ошибся? =0)

        Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру