Port forwarding и secondary ip на ASA

Помимо настройки форварда порта, необходимо открыть доступ через ACL на внутренний ip.

Офф видео:
https://supportforums.cisco.com/videos/2383

Пример1. проброс https порта по внешнему ip на внутренний сервер 192.168.1.13:
object network web-server-http
host 192.168.1.13
nat (inside,outside) static interface service tcp https https

access-list outside-ssh extended permit tcp any object web-server-http eq https
access-group outside-ssh in interface outside

Пример2. Static NAT (привязка внеш. ip к внутр. 1 к 1).
object network inside_5006
host 192.168.9.99
nat (EXT_SERVERS,outside) static 212.13.112.118

Пример3. Проброс – весь траффик по портам 10 – 10000 поступающий на внешний ip идет на внутренний хост на порт 5006

object network inside_5006
host 192.168.9.99
object network outside_secondary
host 212.13.112.118

object service in_ports
service udp source eq 5006
object service in_ports_tcp
service tcp source eq 5006
object service ports-xlate
service tcp source range 10 10000
object service ports-xlate-udp
service udp source range 10 10000

nat (EXT_SERVERS,outside) source static inside_5006 outside_secondary service in_ports ports-xlate-udp
nat (EXT_SERVERS,outside) source static inside_5006 outside_secondary service in_ports_tcp ports-xlate

access-list 102 extended permit tcp any object inside_5006 range 10 10000
access-list 102 extended permit udp any object inside_5006 range 10 10000
access-group 102 in interface outside

Secondary IP внешний:

Если на ASA требуется настроить еще парочку внешних IP адресов (как secondary на маршрутизаторах) для NAT, secondary задавать нельзя, но можно сразу прописывать правило трансляции на эти адреса при условии что внешний интерфейс находится в одной подсети с этими адресами.

object network inside_5006
host 192.168.1.200
nat (EXT_SERVERS,outside) static 212.13.112.119 (не является айпишником внешнего интерфейса, но входит в его подсеть, арендован у провайдера).

0