Разбираюсь с настройкой ASA 5510. До этого с ASA дела не имел, только Каталисты да Cisco 7200. Конфигурация:

System IP Addresses: 
Interface                Name                   IP address      Subnet mask     Method 
Ethernet0/0              WAN                    10.254.1.200    255.255.255.0   CONFIG 
Ethernet0/1              LAN-MSP                172.16.16.254   255.255.255.0   CONFIG 
Ethernet0/3              LAN-AD                 10.255.8.254    255.255.255.0   CONFIG 
object network NUC-16
 host 172.16.16.222
object network LAN-MSP
 subnet 172.16.16.0 255.255.255.0
object network NUC-8
 host 10.255.8.222
object network LAN-AD
 subnet 10.255.8.0 255.255.255.0
access-list ALLOW-LAN extended permit ip any any
access-list ALLOW-RDP-NUC-16 extended permit tcp any object NUC-16 eq 3389
access-list ALLOW-RDP-NUC-8 extended permit tcp any object NUC-8 eq 3388
object network NUC-16
 nat (LAN-MSP,WAN) static interface service tcp 3389 3389
object network LAN-MSP
 nat (LAN-MSP,WAN) dynamic interface
object network NUC-8
 nat (LAN-AD,WAN) static interface service tcp 3389 3388
object network LAN-AD
 nat (LAN-AD,WAN) dynamic interface
access-group ALLOW-RDP-NUC-16 in interface WAN
access-group ALLOW-LAN in interface LAN-MSP
access-group ALLOW-LAN in interface LAN-AD
route WAN 0.0.0.0 0.0.0.0 10.254.1.1 1

При такой конфигурации:
- работает проброс порта 3389 (RDP) на хост NUC-16.
- не работает проброс порта 3388 на 3389 на хост NUC-8

Если привязать правило ALLOW-RDP-NUC-8 на интерфейс WAN, то доступ по RDP к хосту NUC-16 пропадает потому, что это правило перезаписывает правило ALLOW-RDP-NUC-8 (я не могу одновременно привязать два правила на WAN интерфейс. Почему?)

Как правильно пробросить порты для двух хостов в разных сетях?
Как правильно пробросить не станртные порты? Например, при обращении к WAN на порт 3388 был проброс на порт 3389 на клиенте?

Надеюсь, я смог понятно объяснить ситуацию и задачу.

Спасибо!