Cisco ASA 5505 后面的星号

Cisco ASA 5505 后面的星号

我正在从运行 Tomato 的旧 WRT54GL 升级到 Cisco ASA 5505,版本如下:

Cisco Adaptive Security Appliance Software Version 9.1(5)21 
Device Manager Version 7.4(1)

在 Tomato 上,我配置了一个简单的端口转发,将进入端口 5060 的所有流量导向 Asterisk 服务器的本地 IP 地址(也是端口 5060)。我似乎无法使用 ASA 5505 实现同样的事情。

我有另一个端口转发到内部 Web 服务器,它工作正常,那么为什么 SIP 流量的端口转发不起作用呢?!我已经以相同的方式配置了它们……

Asterisk 主机/NAT/访问列表(不起作用)

object network Asterisk_TCP
host 192.168.89.15
nat (inside,outside) static interface service tcp 5060 5060

object network Asterisk_UDP
host 192.168.89.15
nat (inside,outside) static interface service udp 5060 5060

access-list INBOUND extended permit tcp any object Asterisk_TCP eq 5060
access-list INBOUND extended permit udp any object Asterisk_UDP eq 5060

Web 服务器主机/NAT/访问列表(确实有效!)

object network Webserver
host 192.168.89.14
nat (inside,outside) static interface service tcp 80 80

access-list INBOUND extended permit tcp any object Webserver eq 80

使用此服务检查工具出于测试目的,端口 80 工作正常,而端口 5060 则显示“连接被拒绝”。

我不明白这是怎么回事,因为我对这两个要求使用了完全相同的配置!任何帮助都将不胜感激!

答案1

事实证明,由于服务器的 resolv.conf 仍然指向旧的 DNS 服务器(即旧的路由器),SIP 注册失败。

我假设这些 Web 服务失败是因为它们试图连接到 TCP 端口,而不是 Asterisk 默认配置为监听的 UDP。

我最终使用这个托管版本nmap来确认 UDP 端口 5060 是开放的:https://pentest-tools.com/network-vulnerability-scanning/udp-port-scanner-online-nmap

相关内容