Разбираюсь с настройкой ASA 5510. До этого с ASA дела не имел, только Каталисты да Cisco 7200. Конфигурация:
System IP Addresses:
Interface Name IP address Subnet mask Method
Ethernet0/0 WAN 10.254.1.200 255.255.255.0 CONFIG
Ethernet0/1 LAN-MSP 172.16.16.254 255.255.255.0 CONFIG
Ethernet0/3 LAN-AD 10.255.8.254 255.255.255.0 CONFIG
object network NUC-16
host 172.16.16.222
object network LAN-MSP
subnet 172.16.16.0 255.255.255.0
object network NUC-8
host 10.255.8.222
object network LAN-AD
subnet 10.255.8.0 255.255.255.0
access-list ALLOW-LAN extended permit ip any any
access-list ALLOW-RDP-NUC-16 extended permit tcp any object NUC-16 eq 3389
access-list ALLOW-RDP-NUC-8 extended permit tcp any object NUC-8 eq 3388
object network NUC-16
nat (LAN-MSP,WAN) static interface service tcp 3389 3389
object network LAN-MSP
nat (LAN-MSP,WAN) dynamic interface
object network NUC-8
nat (LAN-AD,WAN) static interface service tcp 3389 3388
object network LAN-AD
nat (LAN-AD,WAN) dynamic interface
access-group ALLOW-RDP-NUC-16 in interface WAN
access-group ALLOW-LAN in interface LAN-MSP
access-group ALLOW-LAN in interface LAN-AD
route WAN 0.0.0.0 0.0.0.0 10.254.1.1 1
При такой конфигурации:
- работает проброс порта 3389 (RDP) на хост NUC-16.
- не работает проброс порта 3388 на 3389 на хост NUC-8
Если привязать правило ALLOW-RDP-NUC-8 на интерфейс WAN, то доступ по RDP к хосту NUC-16 пропадает потому, что это правило перезаписывает правило ALLOW-RDP-NUC-8 (я не могу одновременно привязать два правила на WAN интерфейс. Почему?)
Как правильно пробросить порты для двух хостов в разных сетях?
Как правильно пробросить не станртные порты? Например, при обращении к WAN на порт 3388 был проброс на порт 3389 на клиенте?
Надеюсь, я смог понятно объяснить ситуацию и задачу.
Спасибо!
