ASA Port forwarding source address

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
Awatar użytkownika
qligowski
wannabe
wannabe
Posty: 262
Rejestracja: 16 maja 2014, 18:35

ASA Port forwarding source address

#1

#1 Post autor: qligowski »

Czesc, Probuje skonfigurowac otwarcie portow oparte na adresie zrodlowym na moim labowym ASA. Mam zwykly nat inside,outside overload na interfejs zewnetrzny do polaczen wychodzacych i chcialbym otworzyc porty tylko jesli polaczenie przychodzi z okreslonego adresu publicznego.
Probowalem tak:
nat (outside,inside) source static Public_IP Public_IP destination static interface KOMPUTER_LAN service RDP RDP


Ale niestety nie dziala.. :?

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

Re: ASA Port forwarding source address

#2

#2 Post autor: frontier »

Zobacz np. tutaj

https://supportforums.cisco.com/t5/fire ... -p/2009898

a kto moze sie tam dostac z zewnatrz ustawiasz na access liscie.
Jeden konfig wart więcej niż tysiąc słów

Awatar użytkownika
qligowski
wannabe
wannabe
Posty: 262
Rejestracja: 16 maja 2014, 18:35

Re: ASA Port forwarding source address

#3

#3 Post autor: qligowski »

No wlasnie to nie jest to bo ja chce zeby nat byl tylko na podstawie jednego source IP, a nie kazdego dowolnego.

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: ASA Port forwarding source address

#4

#4 Post autor: drake »

qligowski pisze:No wlasnie to nie jest to bo ja chce zeby nat byl tylko na podstawie jednego source IP, a nie kazdego dowolnego.
Niestety, ASA takich wymyslnych rzeczy nie umie ;) Przykladowe konfiguracje NAT znajdziesz np tu: https://www.cisco.com/c/en/us/support/d ... sa-00.html

Pozdruffka!
Never stop exploring :)

https://iverion.de

Awatar użytkownika
scoon
wannabe
wannabe
Posty: 301
Rejestracja: 28 paź 2008, 12:24

Re: ASA Port forwarding source address

#5

#5 Post autor: scoon »

Pewnie chodzi o Policy Based Forwarding (lub coś w tym stylu)?

Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 214
Rejestracja: 02 sie 2009, 15:23

Re: ASA Port forwarding source address

#6

#6 Post autor: judge dredd »

Cześć,

Nie mam doświadczenia z ASĄ, ale ogólnie rzecz biorąc ja bym do tego podszedł inaczej. Nie próbował robić "port forwardingu tylko dla ruchu z konkretnego adresu", bo tak, jak się to na routerach robi, to port forwarding jest tylko powiązaniem konkretnego portu na adresie publicznym urządzenia natującego z konkretnym portem na adresie prywatnym urządzenia wewnątrz sieci i tutaj nie ma miejsca na weryfikację kto się będzie łączył do tego portu na adres publiczny. Ja bym spróbował podejść tak, że zrobił normalny port forwarding, a próbował ograniczyć kto ma dostęp do tego portu przy pomocy jakiejś access-listy. Czyli dwa mechanizmy - NAT forwarduje, a ACL pilnuje kto się łączy i wpuszcza tylko jednego. Może coś w ten deseń?

Pozdrawiam!

JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)

Awatar użytkownika
drake
CCIE
CCIE
Posty: 1593
Rejestracja: 06 maja 2005, 01:32
Lokalizacja: Dortmund, DE
Kontakt:

Re: ASA Port forwarding source address

#7

#7 Post autor: drake »

judge dredd pisze:Cześć,

Nie mam doświadczenia z ASĄ, ale ogólnie rzecz biorąc ja bym do tego podszedł inaczej. Nie próbował robić "port forwardingu tylko dla ruchu z konkretnego adresu", bo tak, jak się to na routerach robi, to port forwarding jest tylko powiązaniem konkretnego portu na adresie publicznym urządzenia natującego z konkretnym portem na adresie prywatnym urządzenia wewnątrz sieci i tutaj nie ma miejsca na weryfikację kto się będzie łączył do tego portu na adres publiczny. Ja bym spróbował podejść tak, że zrobił normalny port forwarding, a próbował ograniczyć kto ma dostęp do tego portu przy pomocy jakiejś access-listy. Czyli dwa mechanizmy - NAT forwarduje, a ACL pilnuje kto się łączy i wpuszcza tylko jednego. Może coś w ten deseń?

Pozdrawiam!

JD
Dokladnie tak to sie robi ;)
Never stop exploring :)

https://iverion.de

Awatar użytkownika
scoon
wannabe
wannabe
Posty: 301
Rejestracja: 28 paź 2008, 12:24

Re: ASA Port forwarding source address

#8

#8 Post autor: scoon »

judge dredd pisze:Cześć,

Nie mam doświadczenia z ASĄ, ale ogólnie rzecz biorąc ja bym do tego podszedł inaczej. Nie próbował robić "port forwardingu tylko dla ruchu z konkretnego adresu", bo tak, jak się to na routerach robi, to port forwarding jest tylko powiązaniem konkretnego portu na adresie publicznym urządzenia natującego z konkretnym portem na adresie prywatnym urządzenia wewnątrz sieci i tutaj nie ma miejsca na weryfikację kto się będzie łączył do tego portu na adres publiczny. Ja bym spróbował podejść tak, że zrobił normalny port forwarding, a próbował ograniczyć kto ma dostęp do tego portu przy pomocy jakiejś access-listy. Czyli dwa mechanizmy - NAT forwarduje, a ACL pilnuje kto się łączy i wpuszcza tylko jednego. Może coś w ten deseń?

Pozdrawiam!

JD
Chyba, że chodzi o to, że na jednym porcie zewnętrznym chce różne hosty źródłowe forwardować do różnych hostów i portów wewnątrz sieci?

Awatar użytkownika
qligowski
wannabe
wannabe
Posty: 262
Rejestracja: 16 maja 2014, 18:35

Re: ASA Port forwarding source address

#9

#9 Post autor: qligowski »

Dokladnie o to chodzi, chcia rozne host zrodlowe do roznych portow wewnatrz sieci majac tylko jeden port. I wlasnie doszedlem do tego ze ta regula dziala, wczesniej blokowala go access lista (dzieki Cisco za packet -tracer). Czyli dla kogos kto bedzie potrzebowal na przyszlosc takiego NAT'u, ta konfiguracja dziala pieknie :D

Kod: Zaznacz cały

nat (outside,inside) source static Public_IP Public_IP destination static interface KOMPUTER_LAN service RDP RDP 

Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 214
Rejestracja: 02 sie 2009, 15:23

Re: ASA Port forwarding source address

#10

#10 Post autor: judge dredd »

Pozwólcie, że wrócę do tematu, bo mnie zaintrygował. Mówisz, że da się zrobić tak, aby na jednym adresie IP publicznym wystawić jeden port i żeby połączenia na ten port były przekierowywane do różych hostów prywatnych na różne porty w zależności od tego jaki publiczny adres IP będzie nawiązywał to połączenie? Czy zbyt mnie fantazja poniosła?

Jeśli jednak da się tak zrobić, to czy mógłbyś przytoczyć dokładną składnię dla jakiegoś konkretnego przykładu, bo trochę nie łapię tego polecenia, które napisałeś (konkretnie to części "...Public_IP Public_IP...").

Pozdrawiam!

JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)

Awatar użytkownika
qligowski
wannabe
wannabe
Posty: 262
Rejestracja: 16 maja 2014, 18:35

Re: ASA Port forwarding source address

#11

#11 Post autor: qligowski »

Siemka, dokladnie tak jak mowisz. U mnie w pracy jest duzo firewalli opartych na linuxie i taki port forwarding jest czesto stosowany dla serwerow.

Mamy zalozmy jeden publinczy IP i jeden port np RDP (3389) i pare serwerow za firewallem i zaleznie od zrodlowego IP mozna otwierac porty (unixowy DNAT destination NAT)

Mam 5 serwerow w LANIE i jeden publiczny IP i port 3389 mozna uzyc piec razy jesli tylko zrodlowy IP bedzie inny.

Kod: Zaznacz cały

nat (outside,inside) source static Public_IP Public_IP destination static interface KOMPUTER_LAN service RDP RDP 
Public_IP object network dla publicznego zrodlowego IP
KOMPUTER_LAN object network dla komputera w LAN
RDP object service dla 3389

czyli mozna rozumiec tak ze 'nat zewnatrz -> wewnatrz -> przekieruj publiczny przychodzacy IP na publiczny przychodzacy (czyli nie rob nic) kiedy destination IP jest interfejs zewnetrzny przekieruj na IP komputera i port zrodlowy RDP przekieruj na RDP (czyli nie rob nic cos jak no nat dla IPSEC)

linuxowy odpowiednik:
iptables -A PREROUTING -p tcp -s 8.8.8.8 -d 9.9.9.9 --dport 3389 -j DNAT --to-destination 192.168.1.10

Awatar użytkownika
judge dredd
wannabe
wannabe
Posty: 214
Rejestracja: 02 sie 2009, 15:23

Re: ASA Port forwarding source address

#12

#12 Post autor: judge dredd »

OK. Chyba rozumiem. To jest jedna komenda dla jednego prywatnego kompa. Jeśli chciałbym teraz ten sam port tego samego mojego adresu publicznego przekierować do innego kompa wewnąrz LAN gdy połączy się inny publiczny IP, to po prostu dopisuję kolejną komendę, w której zmieniam Public_IP łączącego się i KOMPUTER_LAN - mój adres IP publiczny oraz port pozostają takie same. I dalej mogę 50 takich komend nastukać. Dobrze rozumiem?

JD
Zapraszam na szkolenia CCNA prowadzone w pełni on-line (wykłady oraz ćwiczenia ze sprzętem).
Akademia Sieci LANPulse (www.lanpulse.pl)

ODPOWIEDZ