การส่งต่อพอร์ตบน ASA 5510 ภายใน - ภายใน

ฉันมี ASA เชื่อมต่อกับเครือข่ายหลักและต้องการให้ส่งต่อพอร์ตอย่างง่าย เพื่อที่เมื่อพีซีพยายาม telnet ASA บนพอร์ต 500 เช่น ASA จะส่งต่อคำขอไปยังเซิร์ฟเวอร์ โทโพโลยีจะเป็นดังนี้: 192.168.1.100 (พีซี) -> 192.168.1.200 (ASA) -> 192.168.1.300 (เซิร์ฟเวอร์)

ดังนั้นจากพีซีของฉัน ถ้าฉันทำ "telnet 192.168.1.200 500" คำขอจะไปที่ 192.168.1.300

ฉันสร้างกฎ nat และเปิดใช้งานรายการการเข้าถึง แต่มันไม่ทำงาน

• รายการเข้าถึง eth0_access_in บรรทัดที่ 12 ขยายอนุญาตกลุ่มวัตถุ DM_INLINE_SERVICE_3 วัตถุ PC วัตถุ SERVER
• รายการเข้าถึง eth0_access_in บรรทัดที่ 13 ขยายอนุญาตกลุ่มวัตถุ DM_INLINE_SERVICE_4 วัตถุ SERVER พีซีวัตถุ
• nat (eth0,eth0) 1 ต้นทาง เซิร์ฟเวอร์คงที่ เซิร์ฟเวอร์ปลายทาง พีซีคงที่ บริการพีซี tcp-500 tcp-500

Cisco ASA มีข้อจำกัดเกี่ยวกับโฟลว์ทราฟฟิก อินเทอร์เฟซขาเข้าและขาออกต้องแตกต่างกัน ฉันกำลังพูดถึงอินเทอร์เฟซที่มีชื่อ สอง vlans ที่แตกต่างกันบน nic จริงนั้นใช้ได้ แต่ขาเข้าและขาออกใน vlan เดียวกันหรือไม่ได้ติดแท็กบน nic จริงนั้นใช้งานไม่ได้

นอกเหนือจากนี้ การตั้งค่าของคุณจะไม่ทำงานในระดับ TCPฉันจะลบหนึ่ง 0 ออกจากออคเต็ตสุดท้ายเพื่อให้มีที่อยู่ IP จริง

แพ็คเก็ตเริ่มต้น 
192.168.1.10:12345 -> 192.168.1.20:500 (SYN) 
เขียนใหม่บน ASA 
192.168.1.10:12345 -> 192.168.1.30:500 (SYN) 
การตอบกลับจากเซิร์ฟเวอร์
192.168.1.30:500 -> 192.168.1.10:12345 (ซิงค์,ACK)

ไคลเอ็นต์ได้รับแพ็คเก็ตนี้เนื่องจากไม่มีการเชื่อมต่อสำหรับ 192.168.1.30:500 ในตารางการเชื่อมต่อ

คุณต้องใช้แหล่งข้อมูลเพิ่มเติมบนไฟร์วอลล์ของคุณ หรือเส้นทางโฮสต์บน 192.168.1.300 ถึง 192.168.1.100 ผ่านไฟร์วอลล์

ข้อสังเกตอีกด้านหนึ่ง: ฉันหวังว่านี่จะเป็นการตั้งค่าในห้องปฏิบัติการ asa ไม่รองรับตั้งแต่เดือนกันยายน 2018 และอัตราความเร็ว 300Mbps นั้นไม่ทันสมัยในปัจจุบัน