Cisco ASA Portforward...
Hej!
Är snart i läget att jag börjar slita mitt hår ang detta.
Har en ASA 5505 med base license och SW 8.4(5) ASDM 7.1(1)52.
Tanken är att från insidan portmappa RDP samt FTP(21) till port 21021 på utsidan till en server (192.168.10.200) och sedan udp/6881 - 6889 till en annan server (192.168.10.210)
Gick bra att NAT:a mha object nat, både rdp och ftp till 192.168.10.200
Men, måste man verkligen bara köra object nat? Har testat att göra exakt samma sak med twice-nat istället, men då vägrar den släppa igenom något. Mäkta irriterande.
För att nat:a udp/6881 - 6889 försöker jag att använda mig av twice-nat.
Följande config har jag lagt på:
interface Vlan1
nameif inside
security-level 100
ip address 192.168.10.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address xxx.xxx.xxx.xxx 255.255.255.0
!! Default NAT
object network INSIDE_NETWORK
subnet 192.168.10.0 255.255.255.0
nat (inside,outside) dynamic interface
!! NAT to 192.168.10.200
object network HOST_192.168.10.200_RDP
host 192.168.10.200
nat (inside,outside) static interface service tcp 3389 3389
object network HOST_192.168.10.200_FTP
host 192.168.10.200
nat (inside,outside) static interface service tcp 21 21021
!! objects
object network HOST_192.168.10.210
host 192.168.10.210
object service RDP
service tcp destination eq 3389
object service FTP-PORT
service tcp destination eq 21021
object service UDP-PORTS
service udp destination range 6881 6889
!! TwiceNAT UDP Ports
nat (inside,outside) after-auto source static HOST_192.168.10.210_FTP interface service UDP-PORTS UDP-PORTS
!! Access-list for outside access to inside
access-list outside_access_in extended permit object RDP any object HOST_192.168.10.200_RDP
access-list outside_access_in extended permit object UDP-PORTS any object HOST_192.168.10.210
access-list outside_access_in extended permit object FTP-PORT any object HOST_192.168.10.200
!! Apply access-list to outside interface
access-group outside_access_in in interface outside
Har googlat och googlat, läst och svurit lite.
Förstår inte varför samma regler inte fungerar mha twiceNAT. Med objectNAT fungerar det bra, men jag var inte sugen på att skriva massvis av rader ifall man måste NATa en hel massa portar till en server, då ser det bättre ut med twiceNAT..
Skulle uppskattas i massor att någon har något tips eller idé som leder mig rätt väg!