Апну вопрос, ситуация следующая
asa 5505 9.2(4), хочу пробросить порт для торрент клиента.
Настройки
show running-config nat
nat (inside,outside-d) source static NET-LOCAL NET-LOCAL destination static NET-OVH NET-OVH
nat (inside,outside-d) source dynamic NET-FOR-NAT interface
object network media-server
nat (inside,outside-d) static interface service tcp 43117 43117
asa-home(config)# show running-config access-list
access-list outside_access_in extended permit tcp any object media-server eq 43117
show running-config object
object network media-server
host 192.168.88.204
первая строчка нужна что бы не натился трафик, который у меня ходит в туннеле до удаленной asa. При проверке извне доступности порта счетчик хитов по acl не увеличивается.
При проверке packet-tracer -увеличивается, но пакеты отбрасываются.
packet-tracer input outside-d tcp 8.8.8.8 1234 192.168.88.204 43117
Phase: 7
Type: NAT
Subtype: rpf-check
Result: DROP
Config:
nat (inside,outside-d) source dynamic NET-FOR-NAT interface
Правило NET-FOR-NAT мне нужно, что бы натились пакеты со стороны inside интерфейса.
Там у меня 2 сети, 192.168.87.0/24 - висит прямо на inside интерфейсе и 192.168.88.0/24 висит за еще одним роутером(там фаервол/нат выключен, железка перекладывает пакеты из интерфейса в интерфейс).
Порты 100% на целевой машине открыты.
Гугль выдает статейки, где упорно повторяют одно и тоже на тему "создавай объект, пиши acl".
Куда бы копнуть?