5505 ASA Sec +(8.2)を使用しています。内部(172.17.0.0/24)、dmz(172.16.0.0/24)、外部(例では1.2.3.4)の3つのインターフェイスがあります。
1.2.3.4をdmz上のサーバーに変換するように設定された静的NATルールがあります(1.2.3.4:80から172.16.0.10:80を含む)。これらは外部から機能します。
内部のユーザーが外部のユーザーと同じ方法で外部IPを使用してDMZサーバーにアクセスできるようにするにはどうすればよいですか?
ポートアドレス変換(ポート番号に応じていくつかの異なるサーバー)を使用しているため、DNSドクターを避けたいと思います。
NAT)を直接の内部DMZトラフィックに使用するかどうかは関係ありません(ほとんどのトラフィックはとにかくパブリックIPを経由します)。
現在のNAT構成:
ASA Version 8.2(5)
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
global (outside) 1 interface
global (dmz) 2 interface
nat (inside) 1 172.17.0.0 255.255.255.0
nat (dmz) 1 172.16.0.0 255.255.255.0
static (dmz,outside) tcp interface www 172.16.0.10 www netmask 255.255.255.255
static (dmz,outside) tcp interface https 172.16.0.10 https netmask 255.255.255.255
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
access-group dmz_access_in in interface dmz
この最小限の構成では、内部ユーザーはdmzサーバーにまったくアクセスできません。内部ユーザーとdmzサーバーの両方が外部のインターネットに問題なくアクセスでき、dmzサーバーはインターネットからアクセスできます。
私は8.3+でこれを実行しましたが、8.2でこれを実行していた方法について少しあいまいです。
私はそれがこのようなものだったと思います:
static (dmz,inside) tcp {EXTERNAL IP} www 172.16.0.10 www netmask 255.255.255.255
またはACLを使用:
static (dmz,inside) {EXTERNAL IP} ACL1
access-list ACL1 extended ip Host 172.16.0.10 {EXTERNAL IP} {EXTERNAL NETMASK}
それがうまくいかない場合は、以下が8.3以降で機能することを知っているので、何らかの形で役立つ可能性があります
nat (inside,dmz) source static any interface destination static {External IP} SERVER1 service http http unidirectional no-proxy-arp
object network SERVER1
Host {Internal IP}
nat (dmz,outside) static {External IP}
今、私はその一部を台無しにしたと確信しているので、誰かが私に知らせてくれました。