Cisco ASA 8.4+ перенаправить несколько портов - лучшая практика?
Мне было интересно, кто-нибудь может посоветовать лучшие практики, как лучше перенаправить несколько портов для одного хоста во внутренней сети.
Насколько я понимаю, вы можете использовать только один порт для каждого объекта. Это вызвало небольшой мусор в конфигурации, так как я должен указать отдельные объекты для одного хоста (IP) для перенаправления отдельных портов.
Это выглядит следующим образом:
object network ratatouille-4569
nat (inside,outside) static interface service udp 4569 4569
object network ratatouille-ssh
nat (inside,outside) static interface service tcp ssh ssh
Теперь у этого подхода есть несколько очевидных проблем (особенно если у вас более сложные / более правила), например. если вам нужно изменить IP-адрес этого внутреннего хоста, вы должны сделать это для каждого объекта в отдельности.
В этом конкретном случае у меня есть 7 портов для перенаправления на этот конкретный хост.
Буду признателен за любые советы о наилучшей практике, как это сделать.
2 ответа
... и управлять желаемыми портами с помощью ACL, назначенного внешнему интерфейсу
access-list ratatouille-port-control permit tcp any host ratatouille.inside.IP eq 22
access-list ratatouille-port-control permit tcp any host ratatouille.inside.IP eq 4569
access-list ratatouille-port-control permit tcp any host ratatouille.inside.IP eq 8080
access-group ratatouille-port-control outside in
Это невозможно. Вам нужно либо указать каждый из сопоставленных портов вручную, либо просто настроить обычный статический NAT для всех портов TCP / UDP:
object network ratatouille
nat (inside,outside) static interface