Назад | Перейти на главную страницу

Cisco ASA: переадресация портов на разные IP-адреса в зависимости от IP-адреса клиента / внешней подсети

У меня Cisco ASA 8.2 (5), и я хочу настроить переадресацию портов.

Cisco ASA имеет 2 интерфейса:

outside with IP 192.168.57.2
inside with IP 192.168.1.1

У меня есть две подсети, доступные через вне интерфейс:

192.168.17.0/24
192.168.18.0/24

И две подсети, доступные через внутри интерфейс:

192.168.14.0/24
192.168.15.0/24

Теперь я хотел бы настроить переадресацию портов так, чтобы один и тот же порт на внешнем интерфейсе ASA перенаправлялся на разные внутренние хосты, в зависимости от подсети внешнего клиента:

  1. Если клиент из одной подсети подключается извне к ASA через порт 4000 (с 192.168.17.124 на 192.168.57.2:4000), я хочу перенаправить его на 192.168.14.5:3389.
  2. Если клиент из другой подсети подключается к тому же порту на внешнем интерфейсе ASA (с 192.168.18.124 на 192.168.57.2:4000), я хочу перенаправить его на хост в другой подсети (192.168.15.5:3389).

Возможна ли такая конфигурация? Как я мог это настроить?

P.S. Моя текущая конфигурация всегда перенаправляет порт на один и тот же IP-адрес, независимо от подсети клиента:

object-group service OpenedPorts tcp-udp
 port-object eq 4000
 port-object eq 4002
object-group protocol TCPUDP
 protocol-object udp
 protocol-object tcp

access-list outside_access_in extended permit object-group TCPUDP any any object-group OpenedPorts

access-group outside_access_in in interface outside

static (inside,outside) tcp interface 4000 192.168.14.5 3389 netmask 255.255.255.255
static (inside,outside) tcp interface 4002 192.168.14.6 22 netmask 255.255.255.255

ASA добавила маршрутизацию на основе политик в 9.4 (1) с универсальным списком настроек, которые можно применить к выбранному трафику:

Из примечания к выпуску:

Маршрутизация на основе политик (PBR) - это механизм, с помощью которого трафик маршрутизируется по определенным путям с заданным QoS с использованием списков контроля доступа. ACL позволяют классифицировать трафик на основе содержимого заголовков уровня 3 и уровня 4 пакета. Это решение позволяет администраторам обеспечивать QoS для дифференцированного трафика, распределять интерактивный и пакетный трафик между низкополосными, недорогими постоянными путями и высокоскоростными дорогостоящими коммутируемыми путями, а также позволяет поставщикам интернет-услуг и другим организациям маршрутизировать трафик, исходящий из различных группы пользователей через четко определенные подключения к Интернету.

Мы ввели следующие команды: set ip next-hop verify-availability, set ip next-hop, set ip next-hop recursive, set interface, set ip default next-hop, set default interface, set ip df, set ip dscp, policy-route route-map , показать маршрут-политики, отладить маршрут-политики

Похоже, на ASA это сделать нельзя.

Функция, поддерживающая это, называется «Маршрутизация на основе политик». Но согласно следующей ссылке, Cisco поддерживает эту функцию только на маршрутизаторах, но не на устройствах ASA:

https://supportforums.cisco.com/discussion/11215831/source-routingroute-maps-asa