我是论坛新手,真希望有人能帮助我。我快要抓狂了!我在 Cisco 论坛和 Windows 论坛上都发过帖子,希望有人能提出建议,但没有人查看我的问题。我真的希望这个论坛更加活跃!
我正在尝试允许第三方使用自定义端口 (3390 和 3391) 通过 RDP 访问我们的两台服务器。我已使用 ASDM 在我们的 ASA 5515-X 上设置了两条访问规则(我无法执行 CLI)。
规则如下:
源标准 - 允许 - 任何目标标准 - internal.server.local - (服务) RDP
然后我应用了如下 NAT 规则:
匹配源接口 - Internet - 源地址 - 任何目标接口 - LAN - 目标地址 - 1.2.3.4(我们的公共 IP) - 服务 - 3390(自定义 RDP)
操作源 NAT 类型 - 静态 - 源地址 - 原始 - 目标地址 - internal.server.local - 服务 - RDP
再次对另一台服务器使用 NAT 规则,使用 3391 作为自定义端口。
该规则似乎有效,并且日志显示已尝试连接,但另一端的 Windows 服务器似乎拒绝连接。
6 Dec 22 2015 08:18:43 302014 213.205.x.x 49639 10.11.200.55 3389 Teardown TCP connection 20423786 for BTnet:213.205.x.x/49639 to LAN:10.11.200.55/3389 duration 0:00:30 bytes 0 SYN Timeout
我已经仔细检查了服务器,防火墙已关闭,并且还设置了例外规则以允许 RDP 连接,而且 RDP 已启用。
今天早上执行跟踪后我还注意到了以下错误:
5 Dec 22 2015 07:34:08 305013 213.205.x.x 49345 10.11.200.55 3389 Asymmetric NAT rules matched for forward and reverse flows; Connection for tcp src BTnet:213.205.x.x/49345 dst LAN:10.11.200.55/3389 denied due to NAT reverse path failure
这可能是失败的真正原因吗?如果您有任何建议,我将不胜感激。
答案1
好吧,NAT 规则似乎没有正确设置。Cisco ASA 的端口转发概念有点棘手:
使用静态端口重定向(转发)
当外部用户尝试通过特定端口访问内部服务器时,端口转发或端口重定向是一项非常有用的功能。为了实现这一点,具有私有 IP 地址的内部服务器将被转换为公共 IP 地址,从而允许访问特定端口。
因此,要将端口转发到内部服务器,您需要采取两个步骤:
- 将端口 3389 上的内部服务器 IP 10.11.200.55 转换为端口 3390 上的 ASA 的公共 IP 地址 xxxx。
- 允许访问公网IP,xxxx的3390端口。
思科网站上提供了详细的分步说明:使用静态端口重定向(转发)