Cisco ASA 5510 Firewall Port Yönlendirmesi Nasıl Yapılır ?

[tkazan]

Merhaba Arkadaşlar
Ekte gönderdiğim üzere netowork yapımız var. sıkıntımız şu metro ethernet kullanıdığımızdan dolayı ASA 5510 cihazımıza Türktelekomun vermiş olduğu statik ip vermek durumundayız. cihazımıza dışardan içeriye doğru bir port yönlendirmesi yapmak istiyoruz fakat cihazımız bizden bir dış ip istiyor. buda internet ortamında mümkün olmadığından dolayı port yönlendirmesi yapamamaktayım. cisco dökümanları ve diğer haber gurublarında

hostname(config)# access-list 3389 permit tcp host [erişecek ip adress] eq http [erişilecek sunucu ip adress] 255.255.255.0 eq 3389

hostname(config)# static (inside veya outside) [O yasa I interface ip] http access-list 3389

static (inside,outside) tcp interface 3389 [ip adres] 3389 netmask 255.255.255.255

gibi dış bacaktaki bir ip isteği var . benim isteiğim port yönlendirmesini açtığımda isteyen kullanıcı o porttan içeri giriş yapabilmesi.
Bu konuda yardımlarınızı beklemekteyim

ASA configrasyonum

hostname ASA5510
domain-name ASA5510
enable password
names
dns-guard
!
interface Ethernet0/0
nameif Dis
security-level 0
ip address 8x.2xx.2xx.60 255.255.255.248
ospf cost 10
!
interface Ethernet0/1
nameif ic
security-level 100
ip address 192.168.10.1 255.255.255.0
ospf cost 10
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
ospf cost 10
management-only
!
passwd
!
time-range tam
periodic daily 0:00 to 23:59
!
boot system disk0:/asa803-k8.bin
ftp mode passive
clock timezone EEST 2
clock summer-time EEDT recurring last Sun Mar 3:00 last Sun Oct 4:00
dns server-group DefaultDNS
domain-name ASA5510
access-list Dis_access_in extended permit tcp any host 192.168.10.100 eq 3389 ti
me-range tam
pager lines 24
logging enable
logging asdm informational
mtu Dis 1500
mtu ic 1500
mtu management 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-603.bin
no asdm history enable
arp timeout 14400
global (Dis) 101 interface
nat (ic) 101 0.0.0.0 0.0.0.0
nat (management) 0 0.0.0.0 0.0.0.0
access-group Dis_access_in in interface Dis
route Dis 0.0.0.0 0.0.0.0 8x.2xx.2xx.57 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.1.0 255.255.255.0 management
http 192.168.10.0 255.255.255.0 ic
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd dns 195.175.39.39 195.175.39.40
!
dhcpd address 192.168.10.100-192.168.10.200 ic
dhcpd dns 195.175.39.39 195.175.39.39 interface ic
dhcpd enable ic
!
dhcpd address 192.168.1.2-192.168.1.254 management
!
threat-detection basic-threat
threat-detection statistics
username ASA5510
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!

: end

[root]

Ne yapmak istediğinizi tam anlamadım. O verdiğiniz örnekler dışarıdan sabit bir ip adresinin içerideki bir ip adresine 3389 portundan http erişimi kurmasını sağlayan örnek.. 3389'da çalışan bir http uygulamanız varsa..

Bunun dışında 80 isteklerini ve http trafiğini geçirmelisiniz, kuralı ona göre düzenleyip deneyin.

[tkazan]

Yapmak istediğim şey basit port yönlendirmesi fakat internetteki dökümanlarda ise internet ortamındaki bir ip adresi isteniliyor. internet ortamında farklı konumlardan bağlanılacağı için yapacağım kural gecersiz oluyor
bu konuda yardımlarınızı bekliyorum

[root]

any yaz yani ne olursa olsun yerine gecen tanim "any"

[Busayr]

Merhaba,

sistemini gösterirken şifrenin encrypt edilmiş halinide silmelisin, bu harfleri kıran yazılımlar olduğunu biliyorum.Sistemine zarar vermek isteyenler olabilir.

[Orhan ERGUN]

Merhaba,


Istedigi reel ip sizin eth0/0 ın ip'si olacak ama konf zaten yanlıs , içeride hangi ip'ye natlayacaksanız onun ip'sini yazdıktan sonra netmask 255.255.255.255 olmalı , ayrıca global konf modda access-group 3389 u dis yazdığınız interface'in in yonunde uygulamanız lazım.

Kolay gelsin.