Tường lửa ASA không thể định tuyến lưu lượng. Bạn cần masq địa chỉ bên trong so với địa chỉ bên ngoài.
Giải pháp 1: DNS tiến sĩ với NAT tĩnh
Giả sử địa chỉ IP trang web bên ngoài của bạn là 1.2.3.4, sau đó một lần nữa được chuyển tiếp qua cổng (hoặc trực tiếp NAT) đến địa chỉ IP nội bộ 192.168.0.10. Với DNS tiến sĩ, điều sau đây sẽ xảy ra:
- Ứng dụng khách bên trong yêu cầu bên trong http://www.companyweb.com , ban đầu được dịch thành 1.2.3.4
- ASA chặn gói trả lời DNS và thay thế bản ghi A bằng 192.168.0.10
- Khách hàng rất vui mừng, vì giờ đây nó có thể mở ra trang web của công ty :-)
Để biết thêm thông tin chi tiết về cách bạn kích hoạt tính năng này: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml
Giải pháp 2: Máy chủ DNS nội bộ
Điều này rất hữu ích nếu bạn chỉ có một IP bên ngoài và bạn chuyển tiếp IP này sang nhiều dịch vụ nội bộ trên các máy chủ khác nhau (giả sử cổng 80 và 443 chuyển đến 192.168.0.10, cổng 25 chuyển sang 192.168.0.11, v.v.).
Nó không yêu cầu thay đổi cấu hình trên ASA, nhưng nó sẽ yêu cầu bạn sao chép tên miền bên ngoài của bạn trên máy chủ DNS bên trong (Active Directory có tích hợp sẵn). Bạn chỉ cần tạo các bản ghi chính xác như hiện tại, chỉ với IP nội bộ trên các dịch vụ bạn có trong nội bộ.
"Giải pháp" 3: Giao diện DMZ với IP công cộng
Tôi sẽ không đi sâu vào chi tiết về vấn đề này, vì nó yêu cầu bạn phải có một mạng con địa chỉ IP từ ISP được chuyển đến ASA của bạn. Những ngày này thật khó khăn với nạn đói IPv4.