Cisco ASA 8.2 to 9.x :: migrando :: parte 3

Cisco

Hoy toca la parte de NATP en los cisco asa 9.x
Recordemos, que a partir de la versión 8.3 en adelante, cambia todo el tema del nat en los firewalls asa.
En esta ocasión, queremos abrir el puerto 3389 y 443 para una máquina 192.168.1.3. En la versión 8.2 quedarí­a de la siguiente manera:

access-list outside_in permit tcp any any eq 3389
access-list outside_in permit tcp any any eq 443
access-group outside_in in interface outside
static (inside,outside) tcp interface 3389 192.168.1.3 3389 netmask 255.255.255.255
static (inside,outside) tcp interface 443 192.168.1.3 443 netmask 255.255.255.255

Las 2 primeras lí­neas, indica que dejamos pasar desde cualquier sitio externo, a nuestra lan, el puerto tcp 3389 y 443.
El access-group es para aplicar las reglas en el interface y, los statics, es para hacer las traducciones de nat directamente…. sin las 3 primeras lí­neas, el tráfico será denegado.
Ahora vamos a aplicarlo en la versión 9.x y veremos que es un poco más engorroso y que nos han cambiado la sintáxis para que estemos algo más atentos y no nos relajemos 😉
Esta es la config:

object network hst-192.168.1.3
host 192.168.1.3
description Server1.3
object network hst-192.168.1.3_3389
host 192.168.1.3
description server1.3_3389
object-group service svcgrp-192.168.1.3 tcp
port-object eq 443
object-group service svcgrp-192.168.1.3_3389 tcp
port-object eq 3389
object-group service svcgrp-192.168.1.3_443 tcp
port-object eq 443
object network hst-192.168.1.3-tcp443
host 192.168.1.3
description Server 443 Static PAT Object
access-list outside_in extended permit tcp any object hst-192.168.1.3 object-group svcgrp-192.168.1.3_443
access-list outside_in extended permit tcp any object hst-192.168.1.3 object-group svcgrp-192.168.1.3_3389
access-group outside_in interface outside
object network 192.168.1.3-tcp443
nat (inside,outside) static interface service tcp 443 443
object network hst-192.168.1.3_3389
nat (inside,outside) static interface service tcp 3389 3389

Tengo pendiente de probar si 1 group-object lo puedo usar en más de 1 linea y aprovechar.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *