Làm cách nào để truy cập máy chủ nội bộ của tôi trên IP bên ngoài?


10

Chúng tôi đang cố gắng định cấu hình Cisco 5505 và nó đã được thực hiện thông qua ASDM.

Có một vấn đề lớn mà chúng ta không thể giải quyết, và đó là khi bạn đi từ trong ra ngoài và quay lại.

Ví dụ: chúng tôi có một máy chủ "bên trong" và chúng tôi muốn có thể truy cập máy chủ này với cùng một địa chỉ nếu chúng tôi ở bên trong hoặc nếu chúng tôi ở bên ngoài.

Vấn đề là thêm một quy tắc sẽ cho phép lưu lượng truy cập từ trong ra ngoài và sau đó quay lại.


Không có cách nào chúng tôi có thể giúp bạn với ít thông tin như vậy, ASA rất phức tạp, bạn cần một anh chàng mạng để cấu hình điều này cho bạn nếu không nó sẽ ngừng hoạt động vào thời điểm tồi tệ nhất có thể hoặc bạn sẽ bị hack.
Chopper3

Ngoài chủ đề: Bạn nên xem xét nâng cấp ASA đó lên bản phát hành phần mềm mới hơn, vì tất cả tài liệu / hướng dẫn mới được viết cho 8.x
pauseka

tạm dừng, chúng tôi đã nghĩ về nó, và đã cố gắng để có được phần sụn mới nhất, nhưng đã dừng lại vì nó dường như tốn thêm tiền, nhưng có lẽ nó đáng giá!
Fore

Câu trả lời:


17

Tường lửa ASA không thể định tuyến lưu lượng. Bạn cần masq địa chỉ bên trong so với địa chỉ bên ngoài.

Giải pháp 1: DNS tiến sĩ với NAT tĩnh

Giả sử địa chỉ IP trang web bên ngoài của bạn là 1.2.3.4, sau đó một lần nữa được chuyển tiếp qua cổng (hoặc trực tiếp NAT) đến địa chỉ IP nội bộ 192.168.0.10. Với DNS tiến sĩ, điều sau đây sẽ xảy ra:

  1. Ứng dụng khách bên trong yêu cầu bên trong http://www.companyweb.com , ban đầu được dịch thành 1.2.3.4
  2. ASA chặn gói trả lời DNS và thay thế bản ghi A bằng 192.168.0.10
  3. Khách hàng rất vui mừng, vì giờ đây nó có thể mở ra trang web của công ty :-)

Để biết thêm thông tin chi tiết về cách bạn kích hoạt tính năng này: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

Giải pháp 2: Máy chủ DNS nội bộ

Điều này rất hữu ích nếu bạn chỉ có một IP bên ngoài và bạn chuyển tiếp IP này sang nhiều dịch vụ nội bộ trên các máy chủ khác nhau (giả sử cổng 80 và 443 chuyển đến 192.168.0.10, cổng 25 chuyển sang 192.168.0.11, v.v.).

Nó không yêu cầu thay đổi cấu hình trên ASA, nhưng nó sẽ yêu cầu bạn sao chép tên miền bên ngoài của bạn trên máy chủ DNS bên trong (Active Directory có tích hợp sẵn). Bạn chỉ cần tạo các bản ghi chính xác như hiện tại, chỉ với IP nội bộ trên các dịch vụ bạn có trong nội bộ.

"Giải pháp" 3: Giao diện DMZ với IP công cộng

Tôi sẽ không đi sâu vào chi tiết về vấn đề này, vì nó yêu cầu bạn phải có một mạng con địa chỉ IP từ ISP được chuyển đến ASA của bạn. Những ngày này thật khó khăn với nạn đói IPv4.


Câu trả lời tốt đẹp. +1
Carlos Garcia

Cảm ơn một bó cho câu trả lời tốt đẹp, tôi nghĩ rằng chúng tôi sẽ đi cho hệ thống dns nội bộ. Và xem xét mua một bản nâng cấp trên asa
Fore

1
Tôi đã nhận ra # 1 hoạt động tuyệt vời nếu tôi có bản đồ kiểm tra DNS. Trên tường lửa ASA nơi tôi không có bản đồ kiểm tra, điều này đã thất bại (cũng fixup protocol dnshoạt động). Cảm ơn đã khiến tôi nhìn sâu hơn vào đây.
ewwhite

3

Vì các câu hỏi tương tự khác đang được đánh dấu là trùng lặp với một tham chiếu ở đây, tôi muốn bổ sung câu trả lời xuất sắc của @pauska với tùy chọn thứ 4.

Giải pháp 4: Định tuyến giao thông qua NAT Hairpinning

Cho phép lưu lượng truy cập trở lại thông qua giao diện trên thiết bị Cisco PIX / ASA, chẳng hạn như khi máy khách nat: ed truy cập máy chủ nat: ed thông qua ip công khai của nó được gọi là NAT Hairpinning của Cisco.

Về cơ bản, nó sử dụng các tham số cấu hình giống như thông thường cho chuyển tiếp nat và port, nhưng có thêm lệnh này:

same-security-traffic permit intra-interface

và ánh xạ tĩnh thứ hai cho lưu lượng từ trong ra ngoài đến máy chủ:

static(inside,inside) i.i.i.i x.x.x.x

Điều này được mô tả chi tiết đầy đủ với một ví dụ cấu hình ở đây cho thiết kế hai giao diện: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

Và đây là một thay thế Destination NAT cho thiết kế ba giao diện: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2


1

Bạn không thể truy cập giao diện bên ngoài trên Pix / ASA từ bên trong. Bạn nên chuyển hướng yêu cầu DNS cho địa chỉ bên ngoài của máy chủ sang địa chỉ nội bộ.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.