外部IPで内部サーバーに到達するにはどうすればよいですか?
Cisco 5505の設定を試みており、ASDMを介して行われています。
私たちが解決できない大きな問題が1つあります。それは、あなたが内側から外側に行き、再び戻ってくるときです。
たとえば、「内部」にサーバーがあり、内部にいる場合でも外部にいる場合でも、同じアドレスでこのサーバーにアクセスできるようにしたいとします。
問題は、内部から外部へのトラフィックを許可し、その後再びトラフィックを許可するルールを追加することです。
ASAファイアウォールはトラフィックをルーティングできません。外部アドレスに対して内部アドレスをマスキングする必要があります。
解決策1:静的NATを使用したDNSドクター
外部WebサイトのIPアドレスが1.2.3.4であり、内部IPアドレス192.168.0.10にポート転送(または直接NAT変換)されているとします。 DNS Doctoringを使用すると、次のことが起こります。
- 内部のクライアントはリクエスト http://www.companyweb.com で、最初は1.2.3.4に変換されます
- ASAはDNS応答パケットを代行受信し、Aレコードを192.168.0.10に置き換えます
- これで会社のWebサイトを開くことができるため、クライアントは非常に満足しています:-)
これを有効にする方法の詳細については、 http://www.Cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml
ソリューション2:内部DNSサーバー
これは、外部IPが1つだけあり、このIPを別のサーバーの多くの内部サービスにポート転送する場合に便利です(たとえば、ポート80と443が192.168.0.10になり、ポート25が192.168.0.11になるなど)。
ASAの設定を変更する必要はありませんが、内部DNSサーバーに外部ドメインを複製する必要があります(Active Directoryにはこれが組み込まれています)。現在とまったく同じレコードを作成するだけで、内部にあるサービスの内部IPのみが使用されます。
"ソリューション"3:DMZパブリックIPのインターフェース
ASAにルーティングされたISPからIPアドレスのサブネットを取得する必要があるため、これについては詳しく説明しません。最近のIPv4飢餓は非常に困難です。
他の同様の質問はここを参照して重複としてマークされているので、4番目のオプションで@pauskaによる優れた回答を補完したいと思います。
解決策4:NATヘアピニングを介してトラフィックをルーティングする
Nat:edクライアントがそのパブリックIPを介してnat:edサーバーにアクセスする場合など、Cisco PIX/ASAアプライアンスのインターフェイスを介してトラフィックを戻すことを許可することは、NATヘアピン方式と呼ばれます。
Natおよびポート転送の場合と基本的に同じ構成パラメーターを使用しますが、次のコマンドが追加されています。
same-security-traffic permit intra-interface
サーバーへの内部から内部へのトラフィックの2番目の静的マッピング:
static(inside,inside) i.i.i.i x.x.x.x
これについては、2インターフェース設計の構成例を使用して詳細に説明します。 http://www.Cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2
そして、これが宛先NAT 3インターフェース設計の代替案です: http://www.Cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2
内部からPix/ASAの外部インターフェイスにアクセスできません。サーバーの外部アドレスに対するDNS要求を内部アドレスにリダイレクトする必要があります。