资料下载

×

注意

该论坛处于只读模式。
Welcome, 来宾
Username: Password: Remember me
  • 页:
  • 1

TOPIC:

ASA 5520 NAT & PORTFORWARDING配置 5 years 7 months ago #38639

Dear All,
我想在我的ASA防火墙上为CCTV设置配置端口转发。
以下是我的设置的详细信息:

ASA 5520:软件版本8.4(5),ASDM 7.1

DVR的LAN IP:192.168.100.246-192.168.100.253 [总共8个DVR]

真实IP: 168.187.104.101

TCP协议 协议 端口:37777

UDP端口:37778

HTTP:80

请为我提供上述方案的确切配置模块。

ASA 5520 NAT & PORTFORWARDING配置 5 years 7 months ago #38648

据我了解,您想在防火墙的外部接口上打开TCP端口37777,UDP 37778,TCP 80,以使外部用户可以访问某些内部服务。
所以,我第一次这样做。花了我一些时间来理解,但我想保持清洁。
它在IOS 8.4(2)上。
只需将192.168.1.x替换为192.168.100.x,当我最终配置时我忘记了正确的子网。

对于nat语句,我不知道您的全局地址只是外部接口还是其他一些全局地址。
如果是其他地址,只需替换"interface" keyword by 168.187.104.101

因此,您必须指定一个对象网络,将所有服务器放置在特定的端口上,并对它们进行静态nat。

对象网络DVR-SERVERS-37778
范围 192.168.1.246 192.168.1.253
nat (inside,outside) static 接口 service udp 37778 37778



对象网络DVR-SERVERS-37777
范围 192.168.1.246 192.168.1.253
nat (inside,outside) static 接口 service tcp 37777 37777


对象网络DVR-SERVERS-80
范围 192.168.1.246 192.168.1.253
nat (inside,outside) static 接口 service tcp www www



这是所有服务器的对象组,以避免浪费ACL中的时间。

对象组网络DVR-HOSTS
说明DVR-HOSTS-ADDR
网络对象主机 192.168.1.246
网络对象主机 192.168.1.247
网络对象主机 192.168.1.248
网络对象主机 192.168.1.249
网络对象主机 192.168.1.250
网络对象主机 192.168.1.251
网络对象主机 192.168.1.252
网络对象主机 192.168.1.253


现在,我创建对象组服务以避免再次在ACL中浪费时间

对象组服务DVR-TCP
服务对象tcp目标eq www
服务对象TCP目标EQ 37777

对象组服务DVR-UDP
服务对象udp目的地eq 37778


现在您的24行ACL分为两行  :)
外部访问列表扩展允许对象组DVR-TCP任何对象组DVR-HOSTS
扩展许可之外的访问列表允许对象组DVR-UDP任何对象组DVR-HOSTS



验证方式

TCP协议 外的数据包跟踪器输入 1.1.1.2 1234 1.1.1.1 80

阶段1
类型:联合国NAT
子类型:静态
结果:允许
配置:
对象网络DVR-SERVERS-80
nat (inside,outside) static 接口 service tcp www www
附加信息:
NAT divert to egress 接口 inside
取消翻译1.1.1.1/80到192.168.1.246/80

阶段2
类型:访问列表
子类型:日志
结果:允许
配置:
access-group outside in 接口 outside
外部访问列表扩展允许对象组DVR-TCP任何对象组DVR-HOSTS
对象组服务DVR-TCP
服务对象tcp目标eq www
服务对象TCP目标EQ 37777
对象组网络DVR-HOSTS
说明:DVR-HOSTS-ADDR
网络对象主机 192.168.1.246
网络对象主机 192.168.1.247
网络对象主机 192.168.1.248
网络对象主机 192.168.1.249
网络对象主机 192.168.1.250
网络对象主机 192.168.1.251
网络对象主机 192.168.1.252
网络对象主机 192.168.1.253
附加信息:

阶段3
类型:IP-OPTIONS
子类型:
结果:允许
配置:
附加信息:

阶段:4
类型:NAT
子类型:rpf-check
结果:允许
配置:
对象网络DVR-SERVERS-80
nat (inside,outside) static 接口 service tcp www www
附加信息:

阶段:5
类型:IP-OPTIONS
子类型:
结果:允许
配置:
附加信息:

阶段:6
类型:流创建
子类型:
结果:允许
配置:
附加信息:
创建具有ID 56的新流,将数据包分派到下一个模块

结果:
输入接口:外部
输入状态:向上
输入线状态:向上
输出接口:内部
输出状态:上
输出线状态:向上
行动:允许

良好的运动  B)
以下用户说谢谢: im_bajaj110

ASA 5520 NAT & PORTFORWARDING配置 5 years 7 months ago #38656

Good one Kev!

感谢您的宝贵意见。

克里斯。
克里斯·帕特塞尼迪斯(Chris Partsenidis)。
创办人兼总编辑
www.Firewall.cx

ASA 5520 NAT & PORTFORWARDING配置 5 years 7 months ago #38661

非常感谢您的帮助……它现在可以正常工作
以下用户说谢谢: kev972

ASA 5520 NAT & PORTFORWARDING配置 5 years 7 months ago #38662

Thumbs Up to kev972!

干杯,
克里斯·帕特塞尼迪斯(Chris Partsenidis)。
创办人兼总编辑
www.Firewall.cx
以下用户说谢谢: kev972
  • 页:
  • 1
建立页面的时间:0.119秒

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网 安全

  • 了解DMVPN
  • GRE / IPSec配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec模式

思科公司 救命

  • 视窗 8 虚拟专用网 客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置