web-dev-qa-db-ja.com

ASA 5505:パブリックIPを使用して内部からDMZ Webサーバーにアクセスするにはどうすればよいですか?

5505 ASA Sec +(8.2)を使用しています。内部(172.17.0.0/24)、dmz(172.16.0.0/24)、外部(例では1.2.3.4)の3つのインターフェイスがあります。

1.2.3.4をdmz上のサーバーに変換するように設定された静的NATルールがあります(1.2.3.4:80から172.16.0.10:80を含む)。これらは外部から機能します。

内部のユーザーが外部のユーザーと同じ方法で外部IPを使用してDMZサーバーにアクセスできるようにするにはどうすればよいですか?

ポートアドレス変換(ポート番号に応じていくつかの異なるサーバー)を使用しているため、DNSドクターを避けたいと思います。

NAT)を直接の内部DMZトラフィックに使用するかどうかは関係ありません(ほとんどのトラフィックはとにかくパブリックIPを経由します)。

現在のNAT構成:

ASA Version 8.2(5) 

same-security-traffic permit inter-interface
same-security-traffic permit intra-interface

global (outside) 1 interface
global (dmz) 2 interface
nat (inside) 1 172.17.0.0 255.255.255.0
nat (dmz) 1 172.16.0.0 255.255.255.0
static (dmz,outside) tcp interface www 172.16.0.10 www netmask 255.255.255.255 
static (dmz,outside) tcp interface https 172.16.0.10 https netmask 255.255.255.255 
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
access-group dmz_access_in in interface dmz

この最小限の構成では、内部ユーザーはdmzサーバーにまったくアクセスできません。内部ユーザーとdmzサーバーの両方が外部のインターネットに問題なくアクセスでき、dmzサーバーはインターネットからアクセスできます。

3
Nils

私は8.3+でこれを実行しましたが、8.2でこれを実行していた方法について少しあいまいです。

私はそれがこのようなものだったと思います:

static (dmz,inside) tcp {EXTERNAL IP} www 172.16.0.10 www netmask 255.255.255.255

またはACLを使用:

static (dmz,inside) {EXTERNAL IP} ACL1


access-list ACL1 extended ip Host 172.16.0.10 {EXTERNAL IP} {EXTERNAL NETMASK}

それがうまくいかない場合は、以下が8.3以降で機能することを知っているので、何らかの形で役立つ可能性があります

nat (inside,dmz) source static any interface destination static {External IP} SERVER1 service http http unidirectional no-proxy-arp

object network SERVER1
   Host {Internal IP}

nat (dmz,outside) static {External IP}    

今、私はその一部を台無しにしたと確信しているので、誰かが私に知らせてくれました。

1
Harrison Gibbs