Port forwarding pe ASA 5510 intern - intern

Am un ASA conectat la rețeaua primară și aș dori ca acesta să facă o redirecționare ușoară a portului, astfel încât atunci când un computer încearcă să facă telnetul ASA pe portul 500, de exemplu, ASA-ul să transmită cererea către un server. Topologia ar fi astfel: 192.168.1.100 (PC) -> 192.168.1.200 (ASA) -> 192.168.1.300 (SERVER)

Deci, de pe computerul meu, dacă fac „telnet 192.168.1.200 500”, cererea ar merge de fapt la 192.168.1.300

Am creat o regulă nat și am activat lista de acces, dar nu funcționează

• lista de acces eth0_access_in linia 12 permis extins grup de obiecte DM_INLINE_SERVICE_3 obiect PC obiect SERVER
• lista de acces eth0_access_in linia 13 permis extins grup de obiecte DM_INLINE_SERVICE_4 obiect SERVER obiect PC
• nat (eth0,eth0) 1 sursă static SERVER SERVER destinație static PC Serviciu PC tcp-500 tcp-500

Cisco ASA are o limitare cu fluxul de trafic. Interfața de intrare și cea de ieșire trebuie să fie diferite. Vorbesc de interfețe numite. Două vlan-uri diferite pe aceeași NIC fizică sunt ok, dar intrarea și ieșirea în același vlan sau neetichetate pe o NIC fizică nu funcționează.

În afară de aceasta, configurația dvs. nu va funcționa la nivel TCP.Voi elimina unul 0 din ultimul octet pentru a avea adrese IP reale.

Pachetul inițial 
192.168.1.10:12345 -> 192.168.1.20:500 (SYN) 
Rescrie pe ASA 
192.168.1.10:12345 -> 192.168.1.30:500 (SYN) 
Răspuns de la server
192.168.1.30:500 -> 192.168.1.10:12345 (SYN,ACK)

Clientul primește acest pachet deoarece nu are nicio conexiune pentru 192.168.1.30:500 în tabelul de conexiuni.

Aveți nevoie fie de o sursă suplimentară nat pe firewall, fie de o rută gazdă de la 192.168.1.300 la 192.168.1.100 prin firewall.

O altă notă secundară: sper că aceasta este o configurație de laborator. Asa nu mai este suportat din septembrie 2018, iar debitul de 300 Mbps nu este de ultimă generație în prezent.