A configuração prototípica (verifique se você está no modo habilitado):
Deve haver alguma lista de acesso na interface externa que controla qual tráfego pode entrar na rede. É possível que ele não exista já, mas se você já tiver alguma regra de entrada, ela estará lá.
Para verificar se você tem essa lista de acesso, execute
show run access-group
Ele deve retornar algo como
access-group Internet_In in interface Internet
Isso significa (lendo da direita para a esquerda) que o tráfego para a interface "Internet" (que é uma interface com nameif Internet como mostrado em show run int ), tráfego de entrada, deve passar pela lista de acesso "Internet_In". >
Você pode exibir esta lista de acesso com:
show run access-list Internet_In
access-list Internet_In extended permit tcp any host ${Public_IP} eq ${Public_Port}
Essa segunda linha geralmente aparecerá muitas vezes, para cada combinação de IP e Porta sendo encaminhada para dentro. Descobrir quais linhas estão faltando. Se você não tem um grupo de acesso, você deveria ter um por causa da segurança. Normalmente, você só sentirá falta de uma linha ou três da lista de acesso.
Para adicionar linhas à lista de acesso, entre no modo de configuração com conf t e digite as linhas que deseja na lista de acesso no mesmo formato mostrado anteriormente.
Depois de permitir o tráfego, o ASA precisa saber para onde está indo se você estiver executando o NAT. O comando static mapeia o tráfego para trás em uma interface NAT. Se você não está usando NAT neste ASA, então não precisa se preocupar com este mapeamento ( show run nat exibirá a configuração NAT).
Para ativar a execução de configuração estática existente:
show run static
Ele deve retornar algo se você já tiver uma configuração de mapeamento, como:
static (inside,Internet) tcp ${Public_IP} ${Public_Port} ${Priv_IP} ${Priv_Port} netm 255.255.255.255
Onde "inside" e "Internet" são nameif de interfaces e o resto é bastante autoexplicativo. Mais uma vez, descubra quais linhas você está perdendo, adicione-as no modo de configuração.