Làm cách nào để truy cập máy chủ nội bộ của tôi trên IP bên ngoài?

Chúng tôi đang cố gắng định cấu hình Cisco 5505 và nó đã được thực hiện thông qua ASDM.

Có một vấn đề lớn mà chúng ta không thể giải quyết, và đó là khi bạn đi từ trong ra ngoài và quay lại.

Ví dụ: chúng tôi có một máy chủ "bên trong" và chúng tôi muốn có thể truy cập máy chủ này với cùng một địa chỉ nếu chúng tôi ở bên trong hoặc nếu chúng tôi ở bên ngoài.

Vấn đề là thêm một quy tắc sẽ cho phép lưu lượng truy cập từ trong ra ngoài và sau đó quay lại.

Tường lửa ASA không thể định tuyến lưu lượng. Bạn cần masq địa chỉ bên trong so với địa chỉ bên ngoài.

Giải pháp 1: DNS tiến sĩ với NAT tĩnh

Giả sử địa chỉ IP trang web bên ngoài của bạn là 1.2.3.4, sau đó một lần nữa được chuyển tiếp qua cổng (hoặc trực tiếp NAT) đến địa chỉ IP nội bộ 192.168.0.10. Với DNS tiến sĩ, điều sau đây sẽ xảy ra:

1. Ứng dụng khách bên trong yêu cầu bên trong http://www.companyweb.com , ban đầu được dịch thành 1.2.3.4
2. ASA chặn gói trả lời DNS và thay thế bản ghi A bằng 192.168.0.10
3. Khách hàng rất vui mừng, vì giờ đây nó có thể mở ra trang web của công ty :-)

Để biết thêm thông tin chi tiết về cách bạn kích hoạt tính năng này: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

Giải pháp 2: Máy chủ DNS nội bộ

Điều này rất hữu ích nếu bạn chỉ có một IP bên ngoài và bạn chuyển tiếp IP này sang nhiều dịch vụ nội bộ trên các máy chủ khác nhau (giả sử cổng 80 và 443 chuyển đến 192.168.0.10, cổng 25 chuyển sang 192.168.0.11, v.v.).

Nó không yêu cầu thay đổi cấu hình trên ASA, nhưng nó sẽ yêu cầu bạn sao chép tên miền bên ngoài của bạn trên máy chủ DNS bên trong (Active Directory có tích hợp sẵn). Bạn chỉ cần tạo các bản ghi chính xác như hiện tại, chỉ với IP nội bộ trên các dịch vụ bạn có trong nội bộ.

"Giải pháp" 3: Giao diện DMZ với IP công cộng

Tôi sẽ không đi sâu vào chi tiết về vấn đề này, vì nó yêu cầu bạn phải có một mạng con địa chỉ IP từ ISP được chuyển đến ASA của bạn. Những ngày này thật khó khăn với nạn đói IPv4.

Vì các câu hỏi tương tự khác đang được đánh dấu là trùng lặp với một tham chiếu ở đây, tôi muốn bổ sung câu trả lời xuất sắc của @pauska với tùy chọn thứ 4.

Giải pháp 4: Định tuyến giao thông qua NAT Hairpinning

Cho phép lưu lượng truy cập trở lại thông qua giao diện trên thiết bị Cisco PIX / ASA, chẳng hạn như khi máy khách nat: ed truy cập máy chủ nat: ed thông qua ip công khai của nó được gọi là NAT Hairpinning của Cisco.

Về cơ bản, nó sử dụng các tham số cấu hình giống như thông thường cho chuyển tiếp nat và port, nhưng có thêm lệnh này:

same-security-traffic permit intra-interface

và ánh xạ tĩnh thứ hai cho lưu lượng từ trong ra ngoài đến máy chủ:

static(inside,inside) i.i.i.i x.x.x.x

Điều này được mô tả chi tiết đầy đủ với một ví dụ cấu hình ở đây cho thiết kế hai giao diện: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

Và đây là một thay thế Destination NAT cho thiết kế ba giao diện: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2

Bạn không thể truy cập giao diện bên ngoài trên Pix / ASA từ bên trong. Bạn nên chuyển hướng yêu cầu DNS cho địa chỉ bên ngoài của máy chủ sang địa chỉ nội bộ.