我目前正在尝试配置两个不同的 ASA 5510,以便将 h323 视频会议中使用的所有端口正确转发到每个相应站点的内部网络上设置的适当的视频会议设备。
我们的总体网络布局如下;
我有两个独立的工作地点,每个地点都有独立的云访问权限。我设置了一个站点到站点的 VPN 隧道,提供站点间文件共享和站点间对我们的 Exchange 服务器的访问。目前,站点到站点的视频会议运行良好,因为它是通过 VPN 进行的,但我无法将防火墙配置为从外部来源进行 h323 呼叫。
我已经与所需的外部视频会议客户端合作来镜像他们在他们那边开放的端口。
我正在尝试配置我们的防火墙以允许从端口访问:
1718 udp
1719 udp
1720 tcp
1731 tcp
80 tcp
3230-3235 tcp
2326-2485 udp
3230-3280 udp
1024-65535 tcp/udp
在我因为开放了这么多端口而受到责骂之前,我要说的是,我并不打算让所有这些端口都开放。一旦我们就动态 TCP/UDP 端口的范围达成一致,我就会缩小端口范围。
我主要关心的是以最快捷、最简单的方式配置防火墙以覆盖如此广泛的端口。
我最初的想法是创建一个包含所有上面列出的端口范围的 TCP/UDP 服务组,并将该服务组集成到 ACL 和 NAT 规则中,但是当我尝试创建规则时,该服务组不会传播。
(我一直在尝试使用 ASDM,因为在这种情况下我对命令行的熟悉程度有点不稳定。我目前正在运行 ASA 8.4/ASDM 6.4)
当前 ACL 规则是:
access-list outside_access_in extended permit object-group TCPUDP any object VC_Unit object-group VC_services
(其中 VC_unit 是位于内部的视频会议设备,VC_services 是包含所有所需端口/端口范围的服务对象组。
过去,我只是通过进入网络对象本身来分配端口转发规则,但它似乎只支持指定一个特定端口(即转发 RDP 时为 3389......而不是一系列端口或多个端口范围,这是我在这种情况下的需要。)
这可能是一个相当简单的问题,所以请原谅我的无知,但如果能在这件事上提供任何帮助,我将不胜感激。