ฉันจะเข้าถึงเซิร์ฟเวอร์ภายในของฉันบน IP ภายนอกได้อย่างไร

10

เราพยายามกำหนดค่า Cisco 5505 ของเราและดำเนินการผ่าน ASDM

มีปัญหาใหญ่อย่างหนึ่งที่เราไม่สามารถแก้ไขได้และนั่นคือเมื่อคุณไปจากภายในสู่ภายนอกและกลับเข้ามาอีกครั้ง

ตัวอย่างเรามีเซิร์ฟเวอร์ "ข้างใน" และเราต้องการที่จะเข้าถึงเซิร์ฟเวอร์นี้ด้วยที่อยู่เดียวกันถ้าเราอยู่ข้างในหรือถ้าเราอยู่ข้างนอก

ปัญหากำลังเพิ่มกฎที่อนุญาตการรับส่งข้อมูลจากภายในสู่ภายนอกแล้วกลับเข้ามาอีกครั้ง

domain-name-system cisco cisco-asa

— ก่อน
แหล่งที่มา

ไม่มีวิธีใดที่เราสามารถช่วยคุณในการให้ข้อมูลเล็ก ๆ น้อย ๆ เช่น ASA นั้นมีความซับซ้อนคุณต้องมีคนดูแลเครือข่ายเพื่อกำหนดค่าให้คุณไม่เช่นนั้นมันจะหยุดทำงานในเวลาที่เลวร้ายที่สุดเท่าที่จะเป็นไปได้

— Chopper3

หัวข้อ: คุณควรตรวจสอบการอัปเกรด ASA เป็นซอฟต์แวร์รุ่นใหม่เนื่องจากเอกสาร / วิธีใช้ใหม่ทั้งหมดจะถูกเขียนสำหรับ 8.x

— pauska

หยุดเราคิดเกี่ยวกับมันและพยายามที่จะได้รับเฟิร์มแวร์ล่าสุด แต่หยุดเพราะมันดูเหมือนจะมีค่าใช้จ่ายเพิ่มเติม แต่บางทีมันก็คุ้มค่า!

— Fore

17

ไฟร์วอลล์ ASA ไม่สามารถกำหนดเส้นทางการรับส่งข้อมูล คุณต้อง masq ที่อยู่ภายในกับที่อยู่ภายนอก

โซลูชันที่ 1: DNS หมอกับ NAT แบบคงที่

สมมติว่าที่อยู่ IP ของเว็บไซต์ภายนอกของคุณคือ 1.2.3.4 จากนั้นอีกครั้งจะถูกส่งต่อพอร์ต (หรือ NAT'ed โดยตรง) ไปยังที่อยู่ IP ภายใน 192.168.0.10 ด้วยการใช้ DNS Doctoring สิ่งต่อไปนี้จะเกิดขึ้น:

ลูกค้าในคำขอภายในhttp://www.companyweb.comซึ่งเดิมแปลเป็น 1.2.3.4
ASA จะดักจับแพ็กเก็ตตอบกลับ DNS และแทนที่ A-record ด้วย 192.168.0.10
ลูกค้ามีความสุขมากเพราะตอนนี้สามารถเปิดเว็บไซต์ของ บริษัท ได้ :-)

สำหรับข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับวิธีการเปิดใช้งาน: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

โซลูชันที่ 2: เซิร์ฟเวอร์ DNS ภายใน

อันนี้มีประโยชน์ถ้าคุณมี IP ภายนอกเพียงอันเดียวและคุณส่งต่อ IP นี้ไปยังบริการภายในหลายอย่างบนเซิร์ฟเวอร์ที่แตกต่างกัน (สมมุติว่าพอร์ต 80 และ 443 ไปที่ 192.168.0.10 พอร์ต 25 ไปที่ 192.168.0.11 เป็นต้น)

มันไม่จำเป็นต้องมีการเปลี่ยนแปลงการกำหนดค่าใน ASA แต่คุณจะต้องทำซ้ำโดเมนภายนอกของคุณบนเซิร์ฟเวอร์ DNS ภายใน (Active Directory มีตัวนี้อยู่ภายใน) คุณเพิ่งสร้างระเบียนเดียวกันกับที่คุณมีในขณะนี้เฉพาะกับ IP ภายในของบริการที่คุณมีภายในเท่านั้น

"โซลูชัน" 3: อินเทอร์เฟซ DMZ พร้อม IP สาธารณะ

ฉันจะไม่ได้รับรายละเอียดมากนักเกี่ยวกับเรื่องนี้เพราะคุณจะต้องได้รับซับเน็ตของที่อยู่ IP จาก ISP ของคุณที่ส่งไปยัง ASA ของคุณ มันยากมากในวันนี้ด้วยความอดอยาก IPv4

— pauska
แหล่งที่มา

คำตอบที่ดี +1

— Carlos Garcia

ขอบคุณมัดสำหรับคำตอบที่ดีฉันคิดว่าเราจะไปสำหรับระบบ DNS ภายใน และพิจารณาซื้อการอัปเกรดใน asa

— Fore

1

ฉันรู้ว่า # 1 ใช้งานได้ดีถ้าฉันมีแผนที่การตรวจสอบ DNS บนไฟร์วอลล์ ASA ที่ฉันไม่มีแผนที่การตรวจสอบสิ่งนี้ล้มเหลว (ใช้fixup protocol dnsงานได้เช่นกัน) ขอบคุณที่ทำให้ฉันมองลึกลงไป

— ewwhite

3

เนื่องจากคำถามที่คล้ายกันอื่น ๆ ถูกทำเครื่องหมายว่าซ้ำซ้อนโดยมีการอ้างอิงถึงที่นี่ฉันต้องการเติมเต็มคำตอบที่ยอดเยี่ยมโดย @pauska ด้วยตัวเลือกที่ 4

โซลูชันที่ 4: การกำหนดเส้นทางการรับส่งข้อมูลผ่าน NAT Hairpinning

การอนุญาตการรับส่งข้อมูลผ่านอินเทอร์เฟซบนอุปกรณ์ Cisco PIX / ASA เช่นเมื่อไคลเอ็นต์ nat: ed เข้าถึงเซิร์ฟเวอร์ nat: ed ผ่านไอพีสาธารณะเรียกว่า NAT Hairpinning โดย Cisco

มันใช้พารามิเตอร์การกำหนดค่าเดียวกันโดยปกติสำหรับการส่งต่อ nat และพอร์ต แต่ด้วยการเพิ่มคำสั่งนี้:

same-security-traffic permit intra-interface

และการแมปแบบคงที่ที่สองสำหรับทราฟฟิกภายในสู่ภายใน

static(inside,inside) i.i.i.i x.x.x.x

นี่คือคำอธิบายโดยละเอียดพร้อมตัวอย่างการกำหนดค่าที่นี่สำหรับการออกแบบสองอินเตอร์เฟส: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

และนี่คือทางเลือก NAT ปลายทางสำหรับการออกแบบสามอินเตอร์เฟส: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2

— ErikE
แหล่งที่มา

1

คุณไม่สามารถเข้าถึงอินเทอร์เฟซภายนอกบน Pix / ASA จากภายใน คุณควรเปลี่ยนเส้นทางคำขอ DNS สำหรับที่อยู่ภายนอกของเซิร์ฟเวอร์ไปยังที่อยู่ภายใน

— ewwhite
แหล่งที่มา