Cách lưu trữ máy chủ trong vùng DMZ của ASA

8

Tôi có ASA5525-X với 9.1.2. Trên đó là một số giao diện, nhưng chủ yếu tôi đang xem:

(mạng con giả)

trong 10.0.0.0/24, mức bảo mật 100
ngoài 10.0.200.0/24, mức bảo mật 0
DMZ 10.0.100.0/24, cấp độ bảo mật 50

Tôi có một máy chủ DNS trong DMZ, 10.0.100.1 mà tôi có thể truy cập từ bên trong mà không gặp vấn đề gì. Tuy nhiên, tôi muốn nó hiển thị là 10.0.200.95 (không phải là IP thực sự trong ví dụ này) cho mọi người trên internet. Tôi có những gì tôi nghĩ là cần thiết để nó hoạt động, nhưng khi tôi kiểm tra nó, các gói tin bị loại bỏ bởi acl mặc định.

Các mảnh cấu hình phổ biến:

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.0.200.194 255.255.255.192 
interface GigabitEthernet0/6
 nameif DMZ
 security-level 50
 ip address 10.0.100.254 255.255.255.0 
interface GigabitEthernet0/7
 nameif inside
 security-level 100
 ip address 10.0.0.254 255.255.255.0 

object network DMZ-DNS-Server-1
 host 10.0.100.1

nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,DMZ) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static DMZ DMZ no-proxy-arp route-lookup
nat (DMZ,outside) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (DMZ,outside-backup) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup

object network DMZ-DNS-Server-1
 nat (DMZ,outside) static 10.0.200.195 net-to-net

nat (inside,outside-backup) after-auto source dynamic any interface
nat (inside,outside) after-auto source dynamic any interface
nat (DMZ,outside) after-auto source dynamic any interface
nat (DMZ,outside-backup) after-auto source dynamic any interface


access-list traffic-in-outside extended permit tcp any host 10.0.200.195 eq domain 
access-list traffic-in-outside extended permit udp any host 10.0.200.195 eq domain 
access-group traffic-in-outside in interface outside

Có ý kiến gì không?

cisco cisco-asa nat

— some_guy_long_gone
nguồn

phần còn lại của báo cáo nat đã được thêm vào. bên ngoài sao lưu là kết nối internet thứ hai từ nhà cung cấp khác và là sự quay trở lại của truy cập internet và vpn nhưng không liên quan đến máy chủ này (không có IP tĩnh từ phía đó được sử dụng cho nó).

— some_guy_long_gone

xin lỗi, tôi nghĩ rằng tôi đã chỉnh sửa nhận xét của bạn thay vì thêm một ...

— some_guy_long_gone

8

Thay đổi ACL của bạn để tham chiếu địa chỉ thực của máy chủ (10.0.100.1) thay vì địa chỉ được dịch (10.0.200.195). Đây là một thay đổi khác trong 8.3+. ACL phù hợp trên địa chỉ thực.

— Santino
nguồn

1

Bạn sẽ cần phải thiết lập NAT tĩnh để thực hiện việc này, vì 8.3+ điều này đã thay đổi một chút, trong 9 bạn sẽ muốn làm như sau:

object network STATIC_NAT
 host 10.0.100.1
 nat (DMZ,outside) static 10.0.200.95

— David Rothera
nguồn

Đó là trong cấu hình tôi đã chia sẻ. ASA đã chia nó thành hai câu lệnh mạng đối tượng có cùng tên nhưng nó được cấu hình giống như bạn có. Cấu hình được liệt kê của tôi hiển thị "net-to-net" nhưng ban đầu tôi đã cấu hình nó mà không có phần đó và nó vẫn không hoạt động.

— some_guy_long_gone

À, bạn đã thử sử dụng packet-tracerlệnh để mô phỏng một gói đi qua ASA để xem nó bị lỗi ở đâu chưa?

— David Rothera

Vâng, nó nói rằng nó đang bị loại bỏ bởi acl mặc định mà dường như ngụ ý rằng nó không đánh vào acl mà tôi đã tạo cho cổng 53 tại IP đó.

— some_guy_long_gone