web-dev-qa-db-ja.com

Cisco ASA5510でポート443/80のNATルールおよびセキュリティポリシーを作成する

NATをセットアップして、ローカルネットワークへのパブリックIPアドレスへのアクセスを許可しようとしましたが、それを機能させることができません。Ciscoファイアウォールを使用するのは初めてです。

助けてくれてありがとう!

3
user12513

ファイアウォールを使用するのはこれが初めてなので、ASA構成についての学習/デバッグに役立つ追加の構成について説明します。

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

を使用してデバッグするのに役立つロギングを追加できます

logging enable
logging timestamp
logging permit-hostdown
logging Host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

Syslogサーバーは、ファイアウォールからのSyslogメッセージをUDPポート514でリッスンする必要があります。これらは、本番環境にデプロイする前にファイアウォールを実験する際の問題のデバッグに役立ちます。

Telnetが有効になっているため、ファイアウォールの構成は非常に安全ではありません。これもすべての内部IPからのものです。また、すべてが許可されています。アイデアは、ACLを気にせずにNAT構成をテストするのに役立つことです。

次に、ASAの外部インターフェイスのポート80への接続を一部のサーバで転送します。

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

同様に443の使用

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

NATに慣れたら、内部、外部、およびDMZ)を使用して、関連するトラフィックのみを許可するように制限ACLを構成します。

ASAで設定できるNAT/PAT)の他のタイプもあります。

2

これはしばらくの間応答されていないようですが、5510に何があるかを説明しようと思います。

まず、外部/パブリックIPアドレスが1つしかない場合に発生する問題があると聞きました。追加の設定を行う必要がありますが、それが何であるかわかりません。少なくとも2つあり、そのうちの1つはファイアウォールの外部IPであると想定します。以下の利用可能なものを使用します。

ASDMで、[構成]-> [ファイアウォール]-> NATルール]に移動します

[追加]-> [静的な追加]をクリックしますNAT Rule

  • オリジナル->インターフェース:内部
  • オリジナル->ソース:[内部IPアドレス]
  • 翻訳済み->インターフェース:外部
  • 翻訳済み-> IPアドレスを使用:[未使用のパブリックIPアドレス]
  • ポートアドレス変換->ポートアドレス変換を有効にする
  • ポートアドレス変換->プロトコル:TCP
  • ポートアドレス変換->元のポート:http
  • ポートアドレス変換->変換されたポート:http

[OK]をクリックします。 http/80が機能していることを確認したら、https/443に別のルールを追加できます。

次は私が最初に5510を手に入れたときに私を混乱させた部分ですので、どこに何を置くべきかを知っていることを確認してください。

アクセスルールに移動します(ASDM->構成->ファイアウォール->アクセスルール)

追加->アクセスルールの追加

  • インターフェース:外部(内部ではない)
  • アクション:許可する
  • 出典:任意
  • 宛先:[上記と同じパブリックIPアドレス] (内部IPではない)
  • サービス:tcp/http、tcp/https

[OK]をクリックします

それはそれであるはずです。外部/パブリックIPへのセキュリティアクセスを許可し、セキュリティルールで許可されている場合はNATが変換を行うという考えです。

1
David

Webインターフェイス(ASDM)の使用:

1。静的NATルールを追加します。 [構成]-> [NAT]に移動します。[追加]をクリックしてから[静的NATルール]]をクリックします。内部IP情報を[実際のアドレス]に入力し、外部IP情報を[静的変換]に入力します。[PATを有効にする]をオフにして、80(または443)を入力します。

2。トラフィックを許可するようにセキュリティポリシーを変更します。 [構成]-> [セキュリティポリシー]に移動します。 [追加]をクリックして、外部インターフェイス(送信元any)から内部IPアドレス(ポートを指定)への着信トラフィックを許可するルールを作成します。

1
Adam Brand