У меня есть межсетевой экран Cisco ASA-5505, который в настоящее время настроен на совместное использование нашего интернет-соединения и NAT для моей локальной сети, а также перенаправляет порт 443 на внутреннюю машину.
Мне нужно перенаправить порт 2222 на второй внутренняя машина, и я столкнулся с небольшими проблемами. Я понимаю, что обычно пакеты пересылаются на машину с таким правилом, как:
static (inside,outside) [Public IP] [Internal IP] netmask 255.255.255.255
Однако, когда я пытаюсь добавить два из этих правил, они противоречат друг другу.
Вместо этого я попытался добавить правила для конкретных портов:
static (inside,outside) tcp interface 443 [internal IP 1] 443 netmask 255.255.255.255
static (inside,outside) tcp interface 2222 [internal IP 2] 2222 netmask 255.255.255.255
Но затем оба порта были отфильтрованы (согласно nmap с удаленной машины).
Мои правила списка доступа в настоящее время выглядят так:
access-list outside-in line 1 extended permit tcp any host [public IP] eq 443
access-list outside-in line 2 extended permit tcp any host [public IP] eq 2222
Может ли кто-нибудь предоставить мне рабочий набор статических правил и правил списка доступа, которые будут перенаправлять порт 443 на одну машину, а порт 2222 - на другую?
РЕДАКТИРОВАТЬ: я должен упомянуть, что, к сожалению, единственный доступ к этому ASA у меня есть через telnet - я не могу использовать ASDM.
Во-первых, могут быть некоторые расхождения в зависимости от того, какой уровень кода вы используете ...
Есть разница между вашим старым статическим правилом NAT и новыми правилами, которые потребуются для разделения портов с одного IP-адреса WAN на несколько внутренних IP-адресов.
Подробную информацию о том, как это сделать, вы можете получить в Cisco: http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/nat_objects.html
Youtube также может помочь визуальным ученикам ... см. Здесь:
В твоем static правила, не используйте interface. Вместо этого используйте свой публичный IP-адрес.