我有一台 ASA 连接到主网络,我希望它能轻松进行端口转发,这样当一台 PC 尝试通过端口 500 远程登录 ASA 时,ASA 会将请求转发到服务器。拓扑结构如下:192.168.1.100(PC)-> 192.168.1.200(ASA)-> 192.168.1.300(服务器)
因此,如果我从我的电脑执行“telnet 192.168.1.200 500”,请求实际上会转到 192.168.1.300
我创建了 nat 规则并启用了访问列表,但它不起作用
- 访问列表 eth0_access_in 第 12 行扩展许可对象组 DM_INLINE_SERVICE_3 对象 PC 对象 SERVER
- 访问列表 eth0_access_in 第 13 行扩展许可对象组 DM_INLINE_SERVICE_4 对象 SERVER 对象 PC
- nat (eth0,eth0) 1 源静态服务器服务器目标静态PC PC 服务 tcp-500 tcp-500
答案1
Cisco ASA 对流量有限制。传入和传出接口必须不同。我说的是命名接口。同一物理网卡上的两个不同 VLAN 是可以的,但同一 VLAN 中的传入和传出,或物理网卡上的未标记则不起作用。
除此之外,您的设置在 TCP 级别上不起作用。我将从最后一个八位字节中删除一个 0,以获得真实的 IP 地址。
Initial Packet
192.168.1.10:12345 -> 192.168.1.20:500 (SYN)
Rewrite on ASA
192.168.1.10:12345 -> 192.168.1.30:500 (SYN)
Response from Server
192.168.1.30:500 -> 192.168.1.10:12345 (SYN,ACK)
客户端接收此数据包,因为连接表中没有 192.168.1.30:500 的连接。
您需要在防火墙上添加一个源 nat,或者通过防火墙在 192.168.1.300 上建立到 192.168.1.100 的主机路由。
补充一点:我希望这是一个实验室设置。自 2018 年 9 月以来,asa 不再受支持,300Mbps 的吞吐量如今已不再是最先进的。