Cisco ASA: переадресация портов на разные IP-адреса в зависимости от клиентского IP-адреса / подсети снаружи
У меня есть Cisco ASA 8.2(5) и я хотел бы настроить переадресацию портов.
Cisco ASA имеет 2 интерфейса:
outside with IP 192.168.57.2
inside with IP 192.168.1.1
У меня есть две подсети доступны через внешний интерфейс:
192.168.17.0/24
192.168.18.0/24
И две подсети доступны через внутренний интерфейс:
192.168.14.0/24
192.168.15.0/24
Теперь я хотел бы настроить переадресацию портов так, чтобы один и тот же порт на внешнем интерфейсе ASA переадресовывался на разные внутренние хосты, в зависимости от внешней подсети клиента:
- Если клиент из одной подсети подключается извне к ASA через порт 4000 (с 192.168.17.124 до 192.168.57.2:4000), я хочу перенаправить его на 192.168.14.5:3389.
- Если клиент из другой подсети подключается к тому же порту на внешнем интерфейсе ASA (от 192.168.18.124 до 192.168.57.2:4000), я хочу перенаправить его на хост в другой подсети (192.168.15.5:3389).
Возможна ли такая конфигурация? Как я могу это настроить?
PS Моя текущая конфигурация просто всегда перенаправляет порт на один и тот же IP, независимо от клиентской подсети:
object-group service OpenedPorts tcp-udp
port-object eq 4000
port-object eq 4002
object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list outside_access_in extended permit object-group TCPUDP any any object-group OpenedPorts
access-group outside_access_in in interface outside
static (inside,outside) tcp interface 4000 192.168.14.5 3389 netmask 255.255.255.255
static (inside,outside) tcp interface 4002 192.168.14.6 22 netmask 255.255.255.255
2 ответа
ASA добавила маршрутизацию на основе политик в 9.4(1) с универсальным списком настроек, которые можно применить к выбранному трафику:
Политика на основе маршрутизации (PBR) - это механизм, с помощью которого трафик направляется через определенные пути с указанным QoS с использованием ACL. Списки ACL позволяют классифицировать трафик на основе содержимого заголовков уровня 3 и уровня 4 пакета. Это решение позволяет администраторам обеспечивать QoS для дифференцированного трафика, распределять интерактивный и пакетный трафик между низкоскоростными, недорогими постоянными трактами и высокоскоростными коммутируемыми трактами с высокой пропускной способностью, а также позволяет поставщикам интернет-услуг и другим организациям маршрутизировать трафик, исходящий из различных наборы пользователей через четко определенные интернет-соединения.
Мы ввели следующие команды: установить ip next-hop verify-Availability, установить ip next-hop, установить ip next-hop recursive, установить интерфейс, установить ip default next-hop, установить интерфейс по умолчанию, установить ip df, установить ip dscp, маршрут-карта маршрута политики, показать маршрут политики, отладить маршрут политики
Кажется, что вы не можете сделать это на ASA.
Функция для поддержки этого называется "маршрутизацией на основе политик". Но согласно следующей ссылке Cisco поддерживает эту функцию только на маршрутизаторах, но не на устройствах ASA:
https://supportforums.cisco.com/discussion/11215831/source-routingroute-maps-asa