Próbujemy skonfigurować Cisco 5505 i zostało to wykonane za pośrednictwem ASDM.
Jest jeden duży problem, którego nie jesteśmy w stanie rozwiązać, i wtedy przechodzisz od środka na zewnątrz i wracasz.
Przykład: mamy serwer „wewnątrz” i chcemy mieć dostęp do tego serwera z tym samym adresem, jeśli jesteśmy w środku lub jeśli jesteśmy na zewnątrz.
Problem polega na dodaniu reguły, która zezwoli na ruch z wewnątrz na zewnątrz, a następnie z powrotem.
domain-name-system
cisco
cisco-asa
Dziobowy
źródło
źródło
Odpowiedzi:
Zapora ASA nie może kierować ruchu. Musisz zamaskować adres wewnętrzny z adresem zewnętrznym.
Rozwiązanie 1: Sprawdzanie DNS ze statycznym NAT
Załóżmy, że Twój adres IP zewnętrznej witryny to 1.2.3.4, który następnie jest przekierowywany do portu (lub bezpośrednio NAT'owany) na wewnętrzny adres IP 192.168.0.10. W przypadku dokowania DNS będą miały miejsce następujące zdarzenia:
Aby uzyskać bardziej szczegółowe informacje o tym, jak to włączyć: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml
Rozwiązanie 2: Wewnętrzny serwer DNS
Ten jest przydatny, jeśli masz tylko jeden zewnętrzny adres IP i przekierujesz ten adres IP do wielu usług wewnętrznych na różnych serwerach (powiedzmy, że port 80 i 443 ma adres 192.168.0.10, port 25 to 192.168.0.11 itd.).
Nie wymaga zmiany konfiguracji ASA, ale będzie wymagać zduplikowania domeny zewnętrznej na wewnętrznym serwerze DNS (usługa Active Directory ma to wbudowane). Po prostu tworzysz dokładnie te same rekordy, co teraz, tylko z wewnętrznymi adresami IP w usługach, które masz wewnętrznie.
„Rozwiązanie” 3: Interfejs DMZ z publicznymi adresami IP
Nie zamierzam wdawać się w wiele szczegółów na ten temat, ponieważ wymaga to podsieci adresów IP od usługodawcy internetowego kierowanej do ASA. W dzisiejszych czasach z głodem IPv4 jest bardzo ciężko.
źródło
fixup protocol dns
działa). Dzięki, że mogłem zajrzeć głębiej.Ponieważ inne podobne pytania są oznaczone jako duplikaty z odniesieniem do tutaj, chciałbym uzupełnić doskonałą odpowiedź @pauska o 4. opcję.
Rozwiązanie 4: Kierowanie ruchem przez NAT Hairpinning
Zezwolenie na ruch z powrotem przez interfejs urządzenia Cisco PIX / ASA, na przykład gdy klient nat: ed uzyskuje dostęp do serwera nat: ed za pośrednictwem swojego publicznego adresu IP, nazywa się Cisco NAT Hairpinning.
Używa zasadniczo takich samych parametrów konfiguracyjnych jak zwykle dla nat i przekierowania portów, ale z dodatkiem tego polecenia:
oraz drugie mapowanie statyczne dla ruchu wewnątrz-do-serwera:
Jest to szczegółowo opisane wraz z przykładem konfiguracji tutaj dla projektu z dwoma interfejsami: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2
I tutaj jest docelowa alternatywa NAT dla projektu z trzema interfejsami: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2
źródło
Nie możesz uzyskać dostępu do zewnętrznego interfejsu Pix / ASA od wewnątrz. Należy przekierować żądania DNS dotyczące zewnętrznego adresu serwera na adres wewnętrzny.
źródło