Назад | Перейти на главную страницу

Cisco ASA - настройка внешнего доступа к серверу

Я пытаюсь настроить свой ASA (ASA 8.4 (2), ASDM 6.4 (5)), чтобы разрешить внешний доступ к серверу (с использованием RDP). Я все перепробовал, но вроде не работает. Я уверен, что это что-то простое, чего я просто не вижу.

Вот соответствующая конфигурация

access-list Outside_access_in extended permit object RDP any object Priv_Vcenter01 log 

nat (Inside,Outside) source static Priv_Vcenter01 Priv_Vcenter01 service RDP RDP

Любые идеи?

Скотт

Ниже приведены примеры, в которых используется конкретная схема именования объектов - разработанная для ясности - настолько ясна, насколько это возможно в ASA 8.3+.

Полный Статический NAT снаружи: 2.2.2.2 <-> внутри: 192.168.0.100 с ACL для ASA 8.3+

! Define network object for the host
! Configure NAT behavior here but will appear further down if doing a sh run

object network hst-192.168.0.100
 host 192.168.0.100 
 description SRV01 LAN IP
 nat (inside,outside) static 2.2.2.2

! Define an object-group for services to be permitted in ACL

object-group service svcgrp-192.168.0.100-tcp tcp
 description SRV01 Services
 port-object eq 3389

! Put it all together - remember un-nat comes before ACL check
! Use real IP's in ACL's used in access-group -- even on outside

access-list outside_access_in extended permit tcp any object hst-192.168.0.100 object-group svcgrp-192.168.0.100-tcp
access-group outside_access_in in interface outside

Для Статический PAT на внешнем интерфейсе ASA с ACL.

! Define network object for the host

object network hst-192.168.0.100
 host 192.168.0.100 
 description SRV01 LAN IP

! Create network object specific for the static PAT
! Kind of ridiculous with a lot of static PAT's but the ASA 8.3+ code is not
! geared for a lot of static PAT.

object network hst-192.168.0.100-tcp3389
 host 192.168.0.100
 description SRV01 PAT TCP/3389
 nat (inside,outside) static interface service tcp 3389 3389

! Define an object-group for services to be permitted in ACL

object-group service svcgrp-192.168.0.100-tcp tcp
 description SRV01 Services
 port-object eq 3389

! Put it all together - remember un-nat comes before ACL check
! Use real IP's in ACL's used in access-group -- even on outside

access-list outside_access_in extended permit tcp any object hst-192.168.0.100 object-group svcgrp-192.168.0.100-tcp
access-group outside_access_in in interface outside

Не используйте примеры 8.4, NAT значительно изменился по сравнению с 8.2

Применяется ли этот список доступа к интерфейсу? Сделать

sh группа доступа

Также предполагаете, что ваши объекты верны?