我是新来的论坛,真的希望有人能帮助我。 我正在拉我的头发! 我已经在思科论坛和Windows论坛发布了,希望任何人都可以提出build议,但是没有人看到我的问题。 我真的希望这个论坛更加活跃!
我试图让第三方RDP到我们的两台使用自定义端口(3390&3391)的服务器。 我使用ASDM(我无法执行CLI)在ASA 5515-X上设置了两个访问规则。
规则如下:
源标准 – 许可证 – 任何目标标准 – internal.server.local – (服务)RDP
然后我应用了一条NAT规则如下:
匹配源接口 – 互联网 – 源地址 – 任何目的地接口 – 局域网 – 目的地址 – 1.2.3.4(我们的公共IP) – 服务 – 3390(自定义RDP)
动作源NATtypes – 静态 – 源地址 – 原始 – 目标地址 – internal.server.local – 服务 – RDP
另一个服务器使用一个NAT规则,使用3391作为自定义端口。
这条规则似乎正在工作,日志显示连接尝试已经完成,但看起来另一端的Windows服务器拒绝连接。
6 Dec 22 2015 08:18:43 302014 213.205.xx 49639 10.11.200.55 3389 Teardown TCP connection 20423786 for BTnet:213.205.xx/49639 to LAN:10.11.200.55/3389 duration 0:00:30 bytes 0 SYN Timeout 我已经加倍检查了服务器,防火墙closures,并且还有一个exception规则来允许RDP连接,加上RDP被启用。
今天早上我在执行跟踪之后也注意到了以下错误:
5 Dec 22 2015 07:34:08 305013 213.205.xx 49345 10.11.200.55 3389 Asymmetric NAT rules matched for forward and reverse flows; Connection for tcp src BTnet:213.205.xx/49345 dst LAN:10.11.200.55/3389 denied due to NAT reverse path failure
这可能是其失败的实际原因吗? 我会永远感激任何的build议。
那么,NAT规则似乎没有被正确设置。 Cisco ASA的端口转发概念有点棘手:
端口redirect(转发)与静态
端口转发或端口redirect是外部用户尝试访问特定端口上的内部服务器的有用function。 为了达到这个目的,具有私有IP地址的内部服务器将被转换成一个公共IP地址,该IP地址又被允许访问该特定的端口。
因此,要将端口转发到内部服务器,您需要执行以下两个步骤:
思科站点上提供详细的分步说明: 使用静态端口redirect(转发)