ASA Port forwarding source address
ASA Port forwarding source address
Czesc, Probuje skonfigurowac otwarcie portow oparte na adresie zrodlowym na moim labowym ASA. Mam zwykly nat inside,outside overload na interfejs zewnetrzny do polaczen wychodzacych i chcialbym otworzyc porty tylko jesli polaczenie przychodzi z okreslonego adresu publicznego.
Probowalem tak:
nat (outside,inside) source static Public_IP Public_IP destination static interface KOMPUTER_LAN service RDP RDP
Ale niestety nie dziala..
Probowalem tak:
nat (outside,inside) source static Public_IP Public_IP destination static interface KOMPUTER_LAN service RDP RDP
Ale niestety nie dziala..
Re: ASA Port forwarding source address
Zobacz np. tutaj
https://supportforums.cisco.com/t5/fire ... -p/2009898
a kto moze sie tam dostac z zewnatrz ustawiasz na access liscie.
https://supportforums.cisco.com/t5/fire ... -p/2009898
a kto moze sie tam dostac z zewnatrz ustawiasz na access liscie.
Jeden konfig wart więcej niż tysiąc słów
Re: ASA Port forwarding source address
No wlasnie to nie jest to bo ja chce zeby nat byl tylko na podstawie jednego source IP, a nie kazdego dowolnego.
Re: ASA Port forwarding source address
Niestety, ASA takich wymyslnych rzeczy nie umie Przykladowe konfiguracje NAT znajdziesz np tu: https://www.cisco.com/c/en/us/support/d ... sa-00.htmlqligowski pisze:No wlasnie to nie jest to bo ja chce zeby nat byl tylko na podstawie jednego source IP, a nie kazdego dowolnego.
Pozdruffka!
Re: ASA Port forwarding source address
Pewnie chodzi o Policy Based Forwarding (lub coś w tym stylu)?
- judge dredd
- wannabe
- Posty: 214
- Rejestracja: 02 sie 2009, 15:23
Re: ASA Port forwarding source address
Cześć,
Nie mam doświadczenia z ASĄ, ale ogólnie rzecz biorąc ja bym do tego podszedł inaczej. Nie próbował robić "port forwardingu tylko dla ruchu z konkretnego adresu", bo tak, jak się to na routerach robi, to port forwarding jest tylko powiązaniem konkretnego portu na adresie publicznym urządzenia natującego z konkretnym portem na adresie prywatnym urządzenia wewnątrz sieci i tutaj nie ma miejsca na weryfikację kto się będzie łączył do tego portu na adres publiczny. Ja bym spróbował podejść tak, że zrobił normalny port forwarding, a próbował ograniczyć kto ma dostęp do tego portu przy pomocy jakiejś access-listy. Czyli dwa mechanizmy - NAT forwarduje, a ACL pilnuje kto się łączy i wpuszcza tylko jednego. Może coś w ten deseń?
Pozdrawiam!
JD
Nie mam doświadczenia z ASĄ, ale ogólnie rzecz biorąc ja bym do tego podszedł inaczej. Nie próbował robić "port forwardingu tylko dla ruchu z konkretnego adresu", bo tak, jak się to na routerach robi, to port forwarding jest tylko powiązaniem konkretnego portu na adresie publicznym urządzenia natującego z konkretnym portem na adresie prywatnym urządzenia wewnątrz sieci i tutaj nie ma miejsca na weryfikację kto się będzie łączył do tego portu na adres publiczny. Ja bym spróbował podejść tak, że zrobił normalny port forwarding, a próbował ograniczyć kto ma dostęp do tego portu przy pomocy jakiejś access-listy. Czyli dwa mechanizmy - NAT forwarduje, a ACL pilnuje kto się łączy i wpuszcza tylko jednego. Może coś w ten deseń?
Pozdrawiam!
JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)
Akademia Sieci LANPulse (www.lanpulse.pl)
Re: ASA Port forwarding source address
Dokladnie tak to sie robijudge dredd pisze:Cześć,
Nie mam doświadczenia z ASĄ, ale ogólnie rzecz biorąc ja bym do tego podszedł inaczej. Nie próbował robić "port forwardingu tylko dla ruchu z konkretnego adresu", bo tak, jak się to na routerach robi, to port forwarding jest tylko powiązaniem konkretnego portu na adresie publicznym urządzenia natującego z konkretnym portem na adresie prywatnym urządzenia wewnątrz sieci i tutaj nie ma miejsca na weryfikację kto się będzie łączył do tego portu na adres publiczny. Ja bym spróbował podejść tak, że zrobił normalny port forwarding, a próbował ograniczyć kto ma dostęp do tego portu przy pomocy jakiejś access-listy. Czyli dwa mechanizmy - NAT forwarduje, a ACL pilnuje kto się łączy i wpuszcza tylko jednego. Może coś w ten deseń?
Pozdrawiam!
JD
Re: ASA Port forwarding source address
Chyba, że chodzi o to, że na jednym porcie zewnętrznym chce różne hosty źródłowe forwardować do różnych hostów i portów wewnątrz sieci?judge dredd pisze:Cześć,
Nie mam doświadczenia z ASĄ, ale ogólnie rzecz biorąc ja bym do tego podszedł inaczej. Nie próbował robić "port forwardingu tylko dla ruchu z konkretnego adresu", bo tak, jak się to na routerach robi, to port forwarding jest tylko powiązaniem konkretnego portu na adresie publicznym urządzenia natującego z konkretnym portem na adresie prywatnym urządzenia wewnątrz sieci i tutaj nie ma miejsca na weryfikację kto się będzie łączył do tego portu na adres publiczny. Ja bym spróbował podejść tak, że zrobił normalny port forwarding, a próbował ograniczyć kto ma dostęp do tego portu przy pomocy jakiejś access-listy. Czyli dwa mechanizmy - NAT forwarduje, a ACL pilnuje kto się łączy i wpuszcza tylko jednego. Może coś w ten deseń?
Pozdrawiam!
JD
Re: ASA Port forwarding source address
Dokladnie o to chodzi, chcia rozne host zrodlowe do roznych portow wewnatrz sieci majac tylko jeden port. I wlasnie doszedlem do tego ze ta regula dziala, wczesniej blokowala go access lista (dzieki Cisco za packet -tracer). Czyli dla kogos kto bedzie potrzebowal na przyszlosc takiego NAT'u, ta konfiguracja dziala pieknie
Kod: Zaznacz cały
nat (outside,inside) source static Public_IP Public_IP destination static interface KOMPUTER_LAN service RDP RDP
- judge dredd
- wannabe
- Posty: 214
- Rejestracja: 02 sie 2009, 15:23
Re: ASA Port forwarding source address
Pozwólcie, że wrócę do tematu, bo mnie zaintrygował. Mówisz, że da się zrobić tak, aby na jednym adresie IP publicznym wystawić jeden port i żeby połączenia na ten port były przekierowywane do różych hostów prywatnych na różne porty w zależności od tego jaki publiczny adres IP będzie nawiązywał to połączenie? Czy zbyt mnie fantazja poniosła?
Jeśli jednak da się tak zrobić, to czy mógłbyś przytoczyć dokładną składnię dla jakiegoś konkretnego przykładu, bo trochę nie łapię tego polecenia, które napisałeś (konkretnie to części "...Public_IP Public_IP...").
Pozdrawiam!
JD
Jeśli jednak da się tak zrobić, to czy mógłbyś przytoczyć dokładną składnię dla jakiegoś konkretnego przykładu, bo trochę nie łapię tego polecenia, które napisałeś (konkretnie to części "...Public_IP Public_IP...").
Pozdrawiam!
JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)
Akademia Sieci LANPulse (www.lanpulse.pl)
Re: ASA Port forwarding source address
Siemka, dokladnie tak jak mowisz. U mnie w pracy jest duzo firewalli opartych na linuxie i taki port forwarding jest czesto stosowany dla serwerow.
Mamy zalozmy jeden publinczy IP i jeden port np RDP (3389) i pare serwerow za firewallem i zaleznie od zrodlowego IP mozna otwierac porty (unixowy DNAT destination NAT)
Mam 5 serwerow w LANIE i jeden publiczny IP i port 3389 mozna uzyc piec razy jesli tylko zrodlowy IP bedzie inny.
Public_IP object network dla publicznego zrodlowego IP
KOMPUTER_LAN object network dla komputera w LAN
RDP object service dla 3389
czyli mozna rozumiec tak ze 'nat zewnatrz -> wewnatrz -> przekieruj publiczny przychodzacy IP na publiczny przychodzacy (czyli nie rob nic) kiedy destination IP jest interfejs zewnetrzny przekieruj na IP komputera i port zrodlowy RDP przekieruj na RDP (czyli nie rob nic cos jak no nat dla IPSEC)
linuxowy odpowiednik:
iptables -A PREROUTING -p tcp -s 8.8.8.8 -d 9.9.9.9 --dport 3389 -j DNAT --to-destination 192.168.1.10
Mamy zalozmy jeden publinczy IP i jeden port np RDP (3389) i pare serwerow za firewallem i zaleznie od zrodlowego IP mozna otwierac porty (unixowy DNAT destination NAT)
Mam 5 serwerow w LANIE i jeden publiczny IP i port 3389 mozna uzyc piec razy jesli tylko zrodlowy IP bedzie inny.
Kod: Zaznacz cały
nat (outside,inside) source static Public_IP Public_IP destination static interface KOMPUTER_LAN service RDP RDP
KOMPUTER_LAN object network dla komputera w LAN
RDP object service dla 3389
czyli mozna rozumiec tak ze 'nat zewnatrz -> wewnatrz -> przekieruj publiczny przychodzacy IP na publiczny przychodzacy (czyli nie rob nic) kiedy destination IP jest interfejs zewnetrzny przekieruj na IP komputera i port zrodlowy RDP przekieruj na RDP (czyli nie rob nic cos jak no nat dla IPSEC)
linuxowy odpowiednik:
iptables -A PREROUTING -p tcp -s 8.8.8.8 -d 9.9.9.9 --dport 3389 -j DNAT --to-destination 192.168.1.10
- judge dredd
- wannabe
- Posty: 214
- Rejestracja: 02 sie 2009, 15:23
Re: ASA Port forwarding source address
OK. Chyba rozumiem. To jest jedna komenda dla jednego prywatnego kompa. Jeśli chciałbym teraz ten sam port tego samego mojego adresu publicznego przekierować do innego kompa wewnąrz LAN gdy połączy się inny publiczny IP, to po prostu dopisuję kolejną komendę, w której zmieniam Public_IP łączącego się i KOMPUTER_LAN - mój adres IP publiczny oraz port pozostają takie same. I dalej mogę 50 takich komend nastukać. Dobrze rozumiem?
JD
JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)
Akademia Sieci LANPulse (www.lanpulse.pl)