NAT в Ciasco ASA. Как настроить проброс портов?

Question

blackbeard @Black_beard_ast

Sysadmin/Ops engineer.

NAT в Ciasco ASA. Как настроить проброс портов?

Приветствую и прошу помощи. Возникла необходимость занатить/пробросить? порт. Топология примерно такая:

Lan натится на ней. В подсети 192.168.2.0 крутится критичный-сервис на сервере видеоконференции + шара. К нему должны иметь доступ из второй подсети. Железка боевая, на ней много чего заведено, поэтому не могу экспериментировать. Наверное, буду пробовать в packettracer.
Моих скиллов, к сожалению, пока не хватает. AS-у я вообще впервые в руках держу.

П.с. Сойдут годные howto)

Вопрос задан более трёх лет назад
214 просмотров

Комментировать

Подписаться 1 Оценить Комментировать

Решения вопроса 1

5 комментариев

blackbeard @Black_beard_ast Автор вопроса

Прошу прощения за нубство.. Во моем случае получается:
network object video
host 192.168.2.1 //видео
nat (inside_if,outside_if) static 10.61.242.2 service tcp eq 4307 4307 //порты верно?

И да, к посмотреть маршруты? На 810 sh ip rou покажет, а тут, как я понимаю, маршруты прописываются на интерфейсах. Как просмотреть все маршруты?

Написано более трёх лет назад
chupasaurus @chupasaurus

blackbeard: Вместо inside_if,outside_if надо воткнуть имена этих интерфейсов, в остальном верно. Таблица маршрутизации - #show route

Написано более трёх лет назад
chupasaurus @chupasaurus

blackbeard: И настроить ACL для доступа снаружи к этому порту, если надо

Написано более трёх лет назад
blackbeard @Black_beard_ast Автор вопроса

chupasaurus: Спасибо. Еще наткнулся на такой кусочек конфига:

access-list outside_access_in extended permit tcp any host 192.168.61.2 eq lotusnotes
access-list outside_access_in extended permit tcp any host 192.168.2.7 object-group metalink
access-list outside_access_in extended permit tcp any host 192.168.2.7 object-group interbase
access-list outside_access_in extended permit tcp any object-group DM_INLINE_NETWORK_1 eq lotusnotes
access-list outside_access_in extended permit ip any any
Последнее правило разрешает все, я прав? И не попади пакет под первые 4 правила, 5-ое все равно пропустит его, не?

Написано более трёх лет назад
chupasaurus @chupasaurus

blackbeard: Верно. Не стоит забывать, что у ASA есть глобальный ACL, который добавляется ко всем остальным с deny any в конце.

Написано более трёх лет назад

Пригласить эксперта

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

Компьютерные сети

+4 ещё

Средний
Как настроить маршрутизацию трафика с использованием двух сетевых карт для выхода на перечень адресов (сайтов) ТОЛЬКО через одну сетевую карту?
- 1 подписчик
- 22 нояб.
- 2673 просмотра
2

ответа
Сетевое администрирование

+2 ещё

Средний
Как включить HBA на HP Array P420I (hp proliant dl380p gen8)?
- 2 подписчика
- 21 нояб.
- 105 просмотров
1

ответ
Компьютерные сети

+3 ещё

Простой
Как вывести время последнего онлайна хоста в Zabbix?
- 2 подписчика
- 20 нояб.
- 238 просмотров
2

ответа
Компьютерные сети

+1 ещё

Средний
Какие протоколы прикладного уровня над TCP/IP поддерживают постоянное соедиение как WebSocket?
- 2 подписчика
- 19 нояб.
- 3621 просмотр
6

ответов
Сетевое администрирование

+4 ещё

Средний
Почему Mail in a box недоступен по внешнему ip?
- 1 подписчик
- 19 нояб.
- 126 просмотров
2

ответа
Компьютерные сети

+2 ещё

Простой
Начинающий системный администратор. Вопрос по построению сети?
- 2 подписчика
- 19 нояб.
- 5636 просмотров
14

ответов
Сетевое администрирование

+1 ещё

Простой
Можно ли частично изменить маску подсети в сети организации?
- 6 подписчиков
- 17 нояб.
- 4990 просмотров
8

ответов
Компьютерные сети

+4 ещё

Простой
Возможно ли назначение устройства в качестве шлюза, если для выхода в интернет на нём необходимо поднимать VPN?
- 1 подписчик
- 17 нояб.
- 6135 просмотров
3

ответа
Компьютерные сети

+2 ещё

Простой
У меня есть 2 одинаковых сайта в разных точках мира, как мне сделать, чтобы пользователь заходит на тот сайт, который ближе к нему расположен?
- 2 подписчика
- 16 нояб.
- 7420 просмотров
1

ответ
Компьютерные сети

+3 ещё

Простой
Как правильно настроить мост на Mikrotik?
- 3 подписчика
- 11 нояб.
- 613 просмотров
1

ответ
Показать ещё Загружается…

Системный администратор AD

Мечел-ИнфоТех • Москва

от 140 000 ₽

Ведущий системный администратор

ФИНФОРТ • Краснодар

от 200 000 ₽

Руководитель технической поддержки 1С

Wanted. • Санкт-Петербург

До 150 000 ₽

Верстка одностраничника

25 нояб. 2024, в 12:07

12000 руб./за проект

Разработка лэндинга-визитки для юридической компании

25 нояб. 2024, в 11:40

10000 руб./за проект

Сделать интеграцию amoCRM + Яндекс.Метрика по API

25 нояб. 2024, в 11:09

4000 руб./за проект

Answer 1 · 2016-09-22 09:43:17

Годный howto, SNAT работает так начиная с версии прошивки 8.3 ЕМНИП.
Пошагово:

enable
//пароль для super-user'а
#conf t
(config)#network object videoconf-server
(config-network-object)#host внутренний_ip
(config-network-object)#nat (inside_if,outside_if) static внешний_ip service tcp|udp eq внешний_порт внутренний порт
//повторить на все нужные порты
exit
wr mem

NAT в Ciasco ASA. Как настроить проброс портов?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт