Harici IP'deki dahili sunucuma nasıl ulaşabilirim?

10

Cisco 5505'i yapılandırmaya çalışıyoruz ve ASDM aracılığıyla yapıldı.

Çözemediğimiz büyük bir sorun var ve o zaman içeriden dışarıya ve tekrar içeri girdiğinizde.

Örnek olarak, "içeride" bir sunucumuz var ve içerideysek ya da dışarıdaysak bu sunucuya aynı adresle ulaşmak istiyoruz.

Sorun, içeriden dışarıya ve sonra tekrar içeriye trafiğe izin verecek bir kural eklemektir.

domain-name-system cisco cisco-asa

— ön
kaynak

Böyle küçük bilgilerle size yardımcı olmamızın bir yolu yok, ASA'lar karmaşık, bunu sizin için yapılandırmak için bir ağa ihtiyacınız var, aksi takdirde mümkün olan en kötü zamanda çalışmayı bırakacaksınız ya da hackleneceksiniz.

— Chopper3

Konu Dışı: Tüm yeni belgeler / nasıl yapılır 8.x için yazıldığından

— ASA'yı

pauska, bunu düşündük ve en son ürün yazılımını almaya çalıştık, ancak ekstra maliyet gibi göründüğü için durdu, ama belki de buna değer!

— Ön

17

ASA güvenlik duvarı trafiği yönlendiremiyor. İç adresi harici adrese göre maskelemeniz gerekir.

Çözüm 1: Statik NAT ile DNS Doktorluğu

Diyelim ki harici web sitenizin IP adresi 1.2.3.4, o zaman yine 192.168.0.10 dahili IP adresine port yönlendirilir (veya doğrudan NAT'tır). DNS doktorluğu ile aşağıdakiler gerçekleşir:

İçerideki müşteri, başlangıçta 1.2.3.4'e çeviren http://www.companyweb.com 'u talep eder.
ASA, DNS yanıt paketini durdurur ve A kaydını 192.168.0.10 ile değiştirir
Müşteri çok mutlu oluyor, şimdi şirket web sitesini açabilir :-)

Bunu nasıl etkinleştireceğiniz hakkında daha ayrıntılı bilgi için: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

Çözüm 2: Dahili DNS sunucusu

Bu, yalnızca bir harici IP'niz varsa ve bu IP'yi farklı sunuculardaki birçok dahili hizmete yönlendirirseniz yararlıdır (Diyelim ki 80 ve 443 numaralı bağlantı noktası 192.168.0.10'a, 25 numaralı bağlantı noktası 192.168.0.11'e gider).

ASA'da yapılandırma değişikliği gerektirmez, ancak harici etki alanınızı dahili bir DNS sunucusunda çoğaltmanızı gerektirir (Active Directory'de yerleşik olarak bulunur). Şu anda sahip olduğunuz kayıtların aynısını, yalnızca dahili olarak sahip olduğunuz hizmetlerde dahili IP'lerle oluşturursunuz.

"Çözüm" 3: Genel IP'lere sahip DMZ arayüzü

Bu konuda çok ayrıntıya girmeyeceğim, çünkü ISS'nizden ASA'nıza yönlendirilen bir IP adresi alt ağı almanızı gerektirir. IPv4 açlığı ile bu günlerde çok zor.

— pauska
kaynak

Güzel cevap. +1

— Carlos Garcia

Güzel cevap için bir demet teşekkürler, iç dns sistemi için gideceğimizi düşünüyorum. Ve asa'da bir yükseltme satın almayı düşünüyor

— Ön

1

DNS denetim haritam varsa # 1'in harika çalıştığını fark ettim . Denetim haritasına sahip olmadığım ASA güvenlik duvarlarında bu başarısız oldu ( fixup protocol dnsçalışıyor). Beni daha derinlemesine incelemem için teşekkürler.

— ewwhite

3

Diğer benzer sorular burada referansla çift olarak işaretlendiğinden, @pauska'nın mükemmel cevabını 4. bir seçenekle tamamlamak istiyorum.

Çözüm 4: Trafiği NAT Saç Tokası İle Yönlendirme

Bir nat: ed istemcisinin genel IP üzerinden nat: ed sunucusuna erişmesi gibi bir Cisco PIX / ASA cihazındaki bir arabirim üzerinden trafiğe geri dönmeye izin vermek, Cisco by NAT Hairpinning olarak adlandırılır.

Bu, nat ve port yönlendirme için normalde olduğu gibi aynı yapılandırma parametrelerini kullanır, ancak bu komutun eklenmesiyle:

same-security-traffic permit intra-interface

ve sunucuya içten içe trafik için ikinci bir statik eşleme:

static(inside,inside) i.i.i.i x.x.x.x

Bu, iki arayüzlü bir tasarım için burada bir yapılandırma örneği ile ayrıntılı olarak açıklanmaktadır: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

Üç arayüzlü tasarım için bir Hedef NAT alternatifi: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2

— ErikE
kaynak

1

Pix / ASA üzerindeki dış arayüze içeriden erişemezsiniz. Sunucunun dış adresi için DNS isteklerini iç adrese yönlendirmelisiniz.

— ewwhite
kaynak