Bagaimana cara mencapai server internal saya di IP eksternal?


10

Kami mencoba mengonfigurasi Cisco 5505 kami, dan itu telah dilakukan melalui ASDM.

Ada satu masalah besar yang tidak dapat kami pecahkan, dan saat itulah Anda pergi dari dalam ke luar dan kembali lagi.

Contoh, kami memiliki server "di dalam" dan kami ingin dapat menjangkau server ini dengan alamat yang sama jika kami di dalam atau jika kami di luar.

Masalahnya adalah menambahkan aturan yang akan memungkinkan lalu lintas dari dalam ke luar dan kemudian kembali lagi.


Tidak ada cara kami dapat membantu Anda dengan informasi sekecil itu, ASA sangat kompleks, Anda memerlukan orang jaringan untuk mengonfigurasi ini untuk Anda, jika tidak, itu akan berhenti bekerja pada saat terburuk mungkin atau Anda akan diretas.
Chopper3

Di luar topik: Anda harus melihat ke dalam peningkatan ASA itu ke rilis perangkat lunak yang lebih baru, karena semua dokumentasi / cara-cara baru ditulis untuk 8.x
pauska

pauska, kami memikirkannya, dan mencoba untuk mendapatkan firmware terbaru, tetapi berhenti karena sepertinya membutuhkan biaya tambahan, tapi mungkin itu sepadan!
Kedepan

Jawaban:


17

Firewall ASA tidak dapat merutekan lalu lintas. Anda perlu masq alamat di dalam terhadap alamat eksternal.

Solusi 1: DNSing dokter dengan NAT statis

Katakanlah alamat IP situs web eksternal Anda adalah 1.2.3.4, yang kemudian port-forwarded (atau langsung NAT'ed) ke alamat IP internal 192.168.0.10. Dengan perawatan DNS, hal berikut akan terjadi:

  1. Klien pada permintaan dalam http://www.companyweb.com , yang awalnya diterjemahkan menjadi 1.2.3.4
  2. ASA memotong paket balasan DNS, dan mengganti A-record dengan 192.168.0.10
  3. Klien menjadi sangat senang, karena sekarang dapat membuka situs web perusahaan :-)

Untuk info lebih rinci tentang cara Anda mengaktifkan ini: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

Solusi 2: Server DNS internal

Yang ini berguna jika Anda hanya memiliki satu IP eksternal, dan Anda mem-forward IP ini ke banyak layanan internal pada server yang berbeda (Katakanlah port 80 dan 443 pergi ke 192.168.0.10, port 25 pergi ke 192.168.0.11 dll).

Ini tidak memerlukan perubahan konfigurasi pada ASA, tetapi itu akan mengharuskan Anda untuk menduplikasi domain eksternal Anda pada server DNS internal (Active Directory memiliki built-in ini). Anda hanya membuat catatan yang sama persis seperti yang Anda miliki sekarang, hanya dengan IP internal pada layanan yang Anda miliki secara internal.

"Solusi" 3: antarmuka DMZ dengan IP publik

Saya tidak akan membahas banyak tentang yang satu ini, karena ini mengharuskan Anda untuk mendapatkan subnet alamat IP dari ISP Anda yang dialihkan ke ASA Anda. Sangat sulit akhir-akhir ini dengan kelaparan IPv4.


Jawaban bagus. +1
Carlos Garcia

Terima kasih banyak untuk jawaban yang bagus, saya pikir kita akan pergi untuk sistem dns internal. Dan mempertimbangkan untuk membeli upgrade pada asa
Fore

1
Saya menyadari # 1 berfungsi dengan baik jika saya memiliki peta inspeksi DNS. Pada firewall ASA di mana saya tidak memiliki peta inspeksi, ini gagal ( fixup protocol dnsberfungsi juga). Terima kasih telah membuat saya melihat lebih dalam.
ewwhite

3

Karena pertanyaan serupa lainnya ditandai sebagai duplikat dengan referensi ke sini, saya ingin melengkapi jawaban yang sangat baik oleh @pauska dengan opsi ke-4.

Solusi 4: Routing traffic melalui NAT Hairpinning

Mengizinkan lalu lintas kembali melalui antarmuka pada alat Cisco PIX / ASA, seperti ketika klien nat: ed mengakses server nat: ed melalui ip publik disebut NAT Hairpinning oleh Cisco.

Pada dasarnya ia menggunakan parameter konfigurasi yang sama seperti biasa untuk nat dan penerusan port, tetapi dengan tambahan perintah ini:

same-security-traffic permit intra-interface

dan pemetaan statis kedua untuk lalu lintas dalam-ke-dalam ke server:

static(inside,inside) i.i.i.i x.x.x.x

Ini dijelaskan secara rinci lengkap dengan contoh konfigurasi di sini untuk desain dua antarmuka: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

Dan di sini adalah alternatif Destination NAT untuk desain tiga antarmuka: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2


1

Anda tidak dapat mengakses antarmuka luar pada Pix / ASA dari dalam. Anda harus mengarahkan permintaan DNS untuk alamat luar server ke alamat internal.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.