我正在尝试configuration两个不同的ASA 5510,以正确地将在h323video会议中使用的所有端口转发到内部networking上适当的video会议设备设置。
我们的总体networking布局如下;
我有两个独立的工作网站,每个网站都有独立的云访问。 我build立了一个站点到站点的VPN隧道,它提供站点间文件共享和站点间访问我们的交换服务器。 现在,点对点video会议工作正常,因为它正在经过VPN,但是在configuration防火墙configuration为从外部进行h323呼叫时遇到问题。
我已经与想要的外部video会议客户端合作来镜像他们已经打开的端口。
我试图configuration我们的防火墙,以允许从端口访问:
1718 udp 1719 udp 1720 tcp 1731 tcp 80 tcp 3230-3235 tcp 2326-2485 udp 3230-3280 udp 1024-65535 tcp/udp 在我开始咀嚼离开这么多港口之前,让我说我并不打算保持所有这些港口的开放。 一旦我们就dynamicTCP / UDP端口范围的广泛范围达成一致,我将缩小端口范围。
我主要关心的是configuration防火墙覆盖如此广泛的端口的最快捷和最简单的方法。
我原来的想法是做一个TCP / UDP服务组,包括所有上面列出的端口范围,并将该服务组整合到ACL和NAT规则中,但是当我试图创build规则时服务组不会传播。
(我一直在尝试使用ASDM,因为在这种情况下我的命令行的舒适度有点不稳定,目前我正在运行ASA 8.4 / ASDM 6.4)
目前的ACL规则是:
access-list outside_access_in extended permit object-group TCPUDP any object VC_Unit object-group VC_services
(VC_unit是位于内部的video会议设备,而VC_services是包含所有所需端口/端口范围的服务对象组。
在过去,我刚刚通过进入networking对象本身分配了端口转发规则,但似乎只支持指定一个特定的端口(即转发RDP时的3389 …不是端口范围或多个端口范围正如我在这种情况下所需要的那样)。
这可能是一个相当简单的问题,所以请原谅我的无知,但在这方面的任何援助将不胜感激。