Настройка ASA 5510 для переадресации нескольких портов с использованием сервисной группы TCP-UDP
В настоящее время я пытаюсь настроить два разных ASA 5510 для правильной переадресации всех портов, используемых в видеоконференцсвязи h323, на правильную настройку оборудования для видеоконференций во внутренней сети на каждом соответствующем сайте.
Наша общая схема сети выглядит следующим образом;
У меня есть два отдельных рабочих сайта, каждый с независимым облачным доступом. Я настроил VPN-туннель между сайтами, который обеспечивает обмен файлами между сайтами и межсайтовый доступ к нашему серверу обмена. Сейчас видеоконференцсвязь между сайтами работает нормально, поскольку она проходит через VPN, но у меня возникают проблемы с настройкой брандмауэров для выполнения вызовов h323 из внешних источников.
Я сотрудничал с желаемыми внешними клиентами видеоконференцсвязи, чтобы отразить порты, которые они открыли на своей стороне.
Я пытаюсь настроить наш брандмауэр, чтобы разрешить доступ из портов:
1718 udp
1719 udp
1720 tcp
1731 tcp
80 tcp
3230-3235 tcp
2326-2485 udp
3230-3280 udp
1024-65535 tcp/udp
Прежде чем я начну пережевывать, что осталось так много открытых портов, позвольте мне сказать, что я не собираюсь держать все эти порты открытыми. Я сужу диапазон портов, как только мы придем к соглашению о том, насколько широк будет наш диапазон динамических портов TCP/UDP.
Моя главная проблема - самый быстрый и простой способ настройки брандмауэра для работы с таким широким диапазоном портов.
Моя первоначальная идея состояла в том, чтобы создать группу служб TCP/UDP, которая включает все перечисленные выше диапазоны портов, и интегрировать эту группу служб в правила ACL и NAT, но группа служб не распространяется, когда я пытаюсь создать правила.
(Я пытался использовать ASDM, так как мой уровень комфорта с командной строкой в этом случае немного шаток. В настоящее время я использую ASA 8.4/ASDM 6.4)
Текущее правило ACL:
access-list outside_access_in extended permit object-group TCPUDP any object VC_Unit object-group VC_services
(при этом VC_unit - это внутреннее оборудование для видеоконференций, а VC_services - группа сервисных объектов, содержащая все желаемые порты / диапазоны портов.
В прошлом я только назначал правила переадресации портов, входя в сам сетевой объект, но кажется, что он поддерживает только обозначение одного конкретного порта (т. Е. 3389 при пересылке RDP... не диапазон портов или несколько диапазонов портов как моя потребность в этом случае.)
Это, вероятно, довольно простой вопрос, поэтому, пожалуйста, прости мое невежество, но любая помощь в этом вопросе будет принята с благодарностью.