NAT conversão com o Cisco ASA 5505

1

Estou tentando configurar a conversão de NAT em um ASA 5505, mas o novo endereço IP público nunca fica disponível após adicioná-lo. Tenho certeza de que estou fazendo algo estúpido, mas até agora o problema me iludiu. Basicamente, estou tentando mapear XX.XX.115.195 = > 192.168.125.7. XX.XX.115.194 é o IP público do firewall, e é acessível, mas 115.195 parece nunca ser escolhido. Eu herdei a configuração original, então é possível que uma das outras regras esteja impedindo que isso aconteça. Eu incluí o que acredito serem as seções relevantes abaixo.

Abaixo está a regra específica que adicionei. Confirmei que consigo acessar o servidor 125.7 de dentro do firewall nas portas e protocolos usuais, mas do lado de fora o público 115.195 não responde a nada.

static (outside,inside) 192.168.125.7 XX.XX.115.195 netmask 255.255.255.255
ASA Version 7.2(4) 
!
interface Vlan1
 nameif inside
 security-level 100
 ip address 192.168.125.1 255.255.255.0 
!
interface Vlan2
 nameif outside
 security-level 0
 ip address XX.XX.115.194 255.255.255.248 
!
access-list outside-in extended permit tcp any host XX.XX.115.194 eq 44000 
access-list outside-in extended permit tcp any host XX.XX.115.194 eq https 
access-list outside-in extended permit tcp any host XX.XX.115.194 eq 4000 
access-list inside_nat0_outbound extended permit ip any 192.168.125.192 255.255.255.192

nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp interface 44000 192.168.125.15 44000 netmask 255.255.255.255 
static (inside,outside) tcp interface https 192.168.125.15 https netmask 255.255.255.255 
static (inside,outside) tcp interface 4000 192.168.125.15 4000 netmask 255.255.255.255 
static (outside,inside) 192.168.125.7 XX.XX.115.195 netmask 255.255.255.255
access-group outside-in in interface outside
    
por John P 01.08.2012 / 21:51

2 respostas

2

Você tem sua declaração NAT invertida ... deve ser

static (inside,outside)  XX.XX.115.195 192.168.125.7 netmask 255.255.255.255

Depois de fazer isso, suas ACLs precisam permitir o tráfego de entrada

    
por 01.08.2012 / 21:59
0

Você adicionou a ACL correspondente para permitir o tráfego de entrada nesse endereço IP?

Parece que você tem ACLs para o endereço x.x.115.194 para permitir a entrada de https / ports 44000/4000. Você precisa adicionar ACLs correspondentes para as portas que deseja permitir no endereço x.x.115.195

    
por 01.08.2012 / 21:58