URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16992
[ Назад ]

Исходное сообщение
"Проброс портов через NAT модель ASA 5510"
Отправлено Леонид , 22-Авг-08 11:25

Доброго времени суток.
может этот вопрос и звучал неоднократно, но на счет асы мало я нашел здесь :(
есть 3 интерфейса:
interface Ethernet0/0
nameif outside
security-level 0
ip address х.х.х.х 255.255.255.252
!
interface Ethernet0/1
nameif DMZ
security-level 1
!
interface Ethernet0/2
nameif inside
security-level 100
ip address 10.0.6.1 255.255.255.0
для проброски порта 8080 для внутренного айпи пишу следующее
static (inside,outside) udp 10.0.6.113 8080 x.x.x.x 8080
x.x.x.x внешний айпишник
я полагаю эта строка правильная, н омне кажется что нужно еще прописать что-то в аксес листы. проблема только в том что именно :(
собственно поэтому прошу помощи.

Содержание

Проброс портов через NAT модель ASA 5510,sh_, 12:11 , 22-Авг-08
Проброс портов через NAT модель ASA 5510,ural_sm, 12:14 , 22-Авг-08
- Проброс портов через NAT модель ASA 5510,Леонид, 12:48 , 22-Авг-08
  - Проброс портов через NAT модель ASA 5510,Леонид, 12:59 , 22-Авг-08
  - Проброс портов через NAT модель ASA 5510,Ash, 13:01 , 22-Авг-08
    - Проброс портов через NAT модель ASA 5510,dxer, 13:17 , 22-Авг-08
      - Проброс портов через NAT модель ASA 5510,Леонид, 13:32 , 22-Авг-08
        
        Проброс портов через NAT модель ASA 5510,Ash, 14:05 , 22-Авг-08
        
        Проброс портов через NAT модель ASA 5510,Леонид, 14:42 , 22-Авг-08
        
        Проброс портов через NAT модель ASA 5510,sh_, 14:49 , 22-Авг-08
        
        Проброс портов через NAT модель ASA 5510,Леонид, 15:12 , 22-Авг-08
        
        Проброс портов через NAT модель ASA 5510,Леонид, 15:26 , 22-Авг-08
        
        Проброс портов через NAT модель ASA 5510,Cwer74, 15:21 , 26-Авг-08
        
        Проброс портов через NAT модель ASA 5510,Cwer74, 15:27 , 26-Авг-08
        
        Проброс портов через NAT модель ASA 5510,Леонид, 15:05 , 27-Авг-08
        
        Проброс портов через NAT модель ASA 5510,ural_sm, 07:26 , 28-Авг-08
        
        Проброс портов через NAT модель ASA 5510,Леонид, 09:31 , 28-Авг-08

Сообщения в этом обсуждении

"Проброс портов через NAT модель ASA 5510"
Отправлено sh_ , 22-Авг-08 12:11

Перепутали
static (inside,outside) udp x.x.x.x 8080 10.0.6.113 8080

"Проброс портов через NAT модель ASA 5510"
Отправлено ural_sm , 22-Авг-08 12:14

Так надо делать.. когда на ИП привязываешь то не работает.
static (inside,outside) udp interface 8080 10.0.6.113 8080 netmask 255.255.255.255
и почему UDP?

"Проброс портов через NAT модель ASA 5510"
Отправлено Леонид , 22-Авг-08 12:48

>Так надо делать.. когда на ИП привязываешь то не работает.
>
>static (inside,outside) udp interface 8080 10.0.6.113 8080 netmask 255.255.255.255
>и почему UDP?
спасибо за ответ. знаешь просто опыта мало и тренируюсь на том, что реально могу проверить.
вв данном случае UDP позволяет использовать большую пропускную способность, правда не сильно надежен. мне он интересен для систем peer-to-peer.
а аксес лист нужен для этого правила?

"Проброс портов через NAT модель ASA 5510"
Отправлено Леонид , 22-Авг-08 12:59

тю, странно чего то не пашет....

"Проброс портов через NAT модель ASA 5510"
Отправлено Ash , 22-Авг-08 13:01

>>Так надо делать.. когда на ИП привязываешь то не работает.
>>
>>static (inside,outside) udp interface 8080 10.0.6.113 8080 netmask 255.255.255.255
>>и почему UDP?
>
>спасибо за ответ. знаешь просто опыта мало и тренируюсь на том, что
>реально могу проверить.
>вв данном случае UDP позволяет использовать большую пропускную способность, правда не сильно
>надежен. мне он интересен для систем peer-to-peer.
>а аксес лист нужен для этого правила?
Да на обеих интерфейсах

"Проброс портов через NAT модель ASA 5510"
Отправлено dxer , 22-Авг-08 13:17

>[оверквотинг удален]
>>>static (inside,outside) udp interface 8080 10.0.6.113 8080 netmask 255.255.255.255
>>>и почему UDP?
>>
>>спасибо за ответ. знаешь просто опыта мало и тренируюсь на том, что
>>реально могу проверить.
>>вв данном случае UDP позволяет использовать большую пропускную способность, правда не сильно
>>надежен. мне он интересен для систем peer-to-peer.
>>а аксес лист нужен для этого правила?
>
>Да на обеих интерфейсах
nat-control включите.

"Проброс портов через NAT модель ASA 5510"
Отправлено Леонид , 22-Авг-08 13:32

>[оверквотинг удален]
>>>
>>>спасибо за ответ. знаешь просто опыта мало и тренируюсь на том, что
>>>реально могу проверить.
>>>вв данном случае UDP позволяет использовать большую пропускную способность, правда не сильно
>>>надежен. мне он интересен для систем peer-to-peer.
>>>а аксес лист нужен для этого правила?
>>
>>Да на обеих интерфейсах
>
>nat-control включите.
то бишь? сори, просто действительно не сильно разбираюсь.
такой аксес лист подойдет, он конечно как бы для всех
access-list 110 permit udp any any eq 8080
или нужен более конкретный?

"Проброс портов через NAT модель ASA 5510"
Отправлено Ash , 22-Авг-08 14:05

кажеться так надо, если ошибаюсь поправьте
во всяком случае у меня так работало
я RDP прокидывал на время отпуска
на outside
access-list outside_access_in extended permit udp any host IPвнешний eq 8080
на inside
access-list inside_access_in extended permit udp any host IPвнутренний

"Проброс портов через NAT модель ASA 5510"
Отправлено Леонид , 22-Авг-08 14:42

static (inside,outside) udp x.x.x.x 8080 10.0.6.113 8080
access-list inside_access_in extended permit udp any host 10.0.6.113
access-list outside_access_in extended permit udp any host 213.133.167.30 eq 8080
таков конфиг, но если проверять порт извне, то он закрыт.
а что там на счет nat-control, может в этом дело?

"Проброс портов через NAT модель ASA 5510"
Отправлено sh_ , 22-Авг-08 14:49

А как вы проверяете порт извне? Может вам действительно нужно tcp порт использовать?

"Проброс портов через NAT модель ASA 5510"
Отправлено Леонид , 22-Авг-08 15:12

http://www.utorrent.com/testport.php?port=8080 с помощью этой ссылки на www.portforward.com

"Проброс портов через NAT модель ASA 5510"
Отправлено Леонид , 22-Авг-08 15:26

http://whatsmyip.org/ports/ можно еще по этой ссылке здесь даже лучше

"Проброс портов через NAT модель ASA 5510"
Отправлено Cwer74 , 26-Авг-08 15:21

>static (inside,outside) udp x.x.x.x 8080 10.0.6.113 8080
>
>access-list inside_access_in extended permit udp any host 10.0.6.113
>access-list outside_access_in extended permit udp any host 213.133.167.30 eq 8080
>
>таков конфиг, но если проверять порт извне, то он закрыт.
>
>а что там на счет nat-control, может в этом дело?
аксесс листы надо привязывать к интерфейсу
access-group outside_access_in in interface outide
и достаточно прописать отлько для внешнего интерфейса

"Проброс портов через NAT модель ASA 5510"
Отправлено Cwer74 , 26-Авг-08 15:27

мне кажется все таки эти ссылки проверяют tcp порты

"Проброс портов через NAT модель ASA 5510"
Отправлено Леонид , 27-Авг-08 15:05

спасибо за совет. да действительно нужно было tcp. релаьно в этом затык был

"Проброс портов через NAT модель ASA 5510"
Отправлено ural_sm , 28-Авг-08 07:26

То есть у тебя все заработало?

"Проброс портов через NAT модель ASA 5510"
Отправлено Леонид , 28-Авг-08 09:31

static (inside,outside) udp x.x.x.x 8080 10.0.6.113 8080
>
>access-list inside_access_in extended permit udp any host 10.0.6.113
>access-list outside_access_in extended permit udp any host 213.133.167.30 eq 8080
да, вот здесь просто нужно было поменять udp на tcp, и все прекрассно работает! просто я думал, исходя из прочитанного ранее что нужно открывать именно udp порты, а оказывается tcp :) короче кто-то лажанулся, а я на єто повелся....