CiscoASAのポートフォワーディング（IPマスカレード）設定

ASAでポートフォワーディングをしたいがなかなかうまくいかないという方のために設定手順をまとめました。

以下では192.168.1.2のIPをもつクライアントが、192.168.1.1のポート指定（10443）をした場合、
172.30.166.204のサーバへアクセスするようにASAで設定をします。

構成は以下の感じです。

172.30.166.204(server)　 – (inside) ASA (outside) – 192.168.1.2(client)

ASA　ポートフォワーディングの設定手順

外部クライアント（outside側）から、ポート指定でアクセスした際、ポートフォワーディングにより、サーバーアクセスするように設定を実施します。

1.interface設定

interface GigabitEthernet1/6
 nameif outside
 security-level 0
 ip address 192.168.1.1 255.255.255.0
!
interface GigabitEthernet1/7
 nameif inside
 security-level 80
 ip address 172.30.166.208 255.255.255.0
!

2.object network設定

object network TEST_1
 host 172.30.166.204
 nat (inside,outside) static interface service tcp https 10443

3.アクセスリスト設定

access-list inside extended permit ip 172.30.166.0 255.255.255.0 any
access-list inside extended deny ip any any
access-list outside extended permit ip any 192.168.1.0 255.255.255.0
access-list outside extended permit tcp any host 172.30.166.204 eq https
access-list outsite extended permit ip any host 172.30.166.204
access-list outsite extended deny ip any any

4.アクセスグループ（インターフェイス適用）設定

access-group outside in interface outside
access-group inside in interface inside

確認コマンド

# show xlate
2 in use, 3 most used
Flags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap,
       s - static, T - twice, N - net-to-net
TCP PAT from management:172.30.166.204 443-443 to outside:192.168.1.1 10443-10443
    flags sr idle 0:00:05 timeout 0:00:00
TCP PAT from management:172.30.166.205 443-443 to outside:192.168.1.1 11443-11443
    flags sr idle 0:07:47 timeout 0:00:00

# show nat detail

Auto NAT Policies (Section 2)
1 (inside) to (outside) source static TEST_1 interface  service tcp https 10443
    translate_hits = 0, untranslate_hits = 1348
    Source - Origin: 172.30.166.204/32, Translated: 192.168.1.1/24
    Service - Protocol: tcp Real: https Mapped: 10443
2 (inside) to (outside) source static TEST_2 interface  service tcp https 11443
    translate_hits = 0, untranslate_hits = 50
    Source - Origin: 172.30.166.205/32, Translated: 192.168.1.1/24
    Service - Protocol: tcp Real: https Mapped: 11443

まとめ

ASAの設定は、色々とめんどくさいところが多いです。
デフォルトdenyですし。。。Pingすら通りません。
Pingを許可するにもいちいち設定がありますしとにかくめんどくさい。

セキュアな機器かもしれないですが、苦手な人は多いはずです。
ASAのポートフォワーディングをする際は、この設定を参考にしてくださいね。

それでは！