Estou tentando encaminhar um serviço interno em um servidor interno para a interface externa na mesma porta na interface externa do nosso ASA.
Estou procurando uma solução há dias e não encontrei nada.
Aqui estão as partes relevantes da minha configuração:
: Saved
:
ASA Version 8.4(2)
!
object service TCP-WebServer-8080
service tcp source eq 8080
object network WebServer_Object_10.1.10.7
host 10.1.10.7
object network obj-10.1.100.0
subnet 10.1.10.0 255.255.255.0
!
access-list outsidein extended permit ip object-group OUTSIDE object-group INSIDE
access-list insideout extended permit ip object-group INSIDE object-group OUTSIDE
access-list webserveraccess extended permit tcp any object WebServer_Object_10.1.10.7 eq 8080
!
nat (inside,outside) source dynamic obj-10.1.10.0 interface
!
access-group webserveraccess in interface outside
access-group insideout in interface inside
!
object network WebServer_Object_10.1.10.7
nat (inside,outside) static interface service tcp 8080 8080
Aqui está a saída do rastreador de pacotes:
Phase: 1
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 1.2.3.4 255.255.255.255 identity
Phase: 2
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: NP Identity Ifc
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule
Parece que está sendo descartado por uma ACL, mas parece certo para mim. Posso ter alguma orientação sobre o que estou fazendo errado?
O problema foi que meu (Dynamic PAT) substitui minha configuração PAT Estática (Port Forward)
nat (dentro, fora) fonte dinâmica interface obj-10.1.10.0
Removido com
no nat (dentro, fora) fonte dinâmica interface obj-10.1.10.0
E, em seguida, adicione-o como
nat (dentro, fora) after-auto source interface dinâmica obj-10.1.10.0
Então funcionou.
Tags port-forwarding nat cisco-asa