ASA 5505：パブリックIPを使用して内部からDMZ Webサーバーにアクセスするにはどうすればよいですか？

Question

5505 ASA Sec +（8.2）を使用しています。内部（172.17.0.0/24）、dmz（172.16.0.0/24）、外部（例では1.2.3.4）の3つのインターフェイスがあります。

1.2.3.4をdmz上のサーバーに変換するように設定された静的NATルールがあります（1.2.3.4：80から172.16.0.10:80を含む）。これらは外部から機能します。

内部のユーザーが外部のユーザーと同じ方法で外部IPを使用してDMZサーバーにアクセスできるようにするにはどうすればよいですか？

ポートアドレス変換（ポート番号に応じていくつかの異なるサーバー）を使用しているため、DNSドクターを避けたいと思います。

NAT）を直接の内部DMZトラフィックに使用するかどうかは関係ありません（ほとんどのトラフィックはとにかくパブリックIPを経由します）。

現在のNAT構成：

ASA Version 8.2(5) same-security-traffic permit inter-interface same-security-traffic permit intra-interface global (outside) 1 interface global (dmz) 2 interface nat (inside) 1 172.17.0.0 255.255.255.0 nat (dmz) 1 172.16.0.0 255.255.255.0 static (dmz,outside) tcp interface www 172.16.0.10 www netmask 255.255.255.255 static (dmz,outside) tcp interface https 172.16.0.10 https netmask 255.255.255.255 access-group inside_access_in in interface inside access-group outside_access_in in interface outside access-group dmz_access_in in interface dmz

この最小限の構成では、内部ユーザーはdmzサーバーにまったくアクセスできません。内部ユーザーとdmzサーバーの両方が外部のインターネットに問題なくアクセスでき、dmzサーバーはインターネットからアクセスできます。

Harrison Gibbs · Answer

私は8.3+でこれを実行しましたが、8.2でこれを実行していた方法について少しあいまいです。

私はそれがこのようなものだったと思います：

static (dmz,inside) tcp {EXTERNAL IP} www 172.16.0.10 www netmask 255.255.255.255

またはACLを使用：

static (dmz,inside) {EXTERNAL IP} ACL1 access-list ACL1 extended ip Host 172.16.0.10 {EXTERNAL IP} {EXTERNAL NETMASK}

それがうまくいかない場合は、以下が8.3以降で機能することを知っているので、何らかの形で役立つ可能性があります

nat (inside,dmz) source static any interface destination static {External IP} SERVER1 service http http unidirectional no-proxy-arp object network SERVER1 Host {Internal IP} nat (dmz,outside) static {External IP}

今、私はその一部を台無しにしたと確信しているので、誰かが私に知らせてくれました。