NATをセットアップして、ローカルネットワークへのパブリックIPアドレスへのアクセスを許可しようとしましたが、それを機能させることができません。Ciscoファイアウォールを使用するのは初めてです。
助けてくれてありがとう!
ファイアウォールを使用するのはこれが初めてなので、ASA構成についての学習/デバッグに役立つ追加の構成について説明します。
interface FastEthernet 0/0
nameif outside
security-level 0
ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
nameif inside
security-level 100
ip address <inside_ip_firewall> <inside netmask>
access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside
route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>
telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside
を使用してデバッグするのに役立つロギングを追加できます
logging enable
logging timestamp
logging permit-hostdown
logging Host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>
Syslogサーバーは、ファイアウォールからのSyslogメッセージをUDPポート514でリッスンする必要があります。これらは、本番環境にデプロイする前にファイアウォールを実験する際の問題のデバッグに役立ちます。
Telnetが有効になっているため、ファイアウォールの構成は非常に安全ではありません。これもすべての内部IPからのものです。また、すべてが許可されています。アイデアは、ACLを気にせずにNAT構成をテストするのに役立つことです。
次に、ASAの外部インターフェイスのポート80への接続を一部のサーバで転送します。
static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100
同様に443の使用
static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100
NATに慣れたら、内部、外部、およびDMZ)を使用して、関連するトラフィックのみを許可するように制限ACLを構成します。
ASAで設定できるNAT/PAT)の他のタイプもあります。
これはしばらくの間応答されていないようですが、5510に何があるかを説明しようと思います。
まず、外部/パブリックIPアドレスが1つしかない場合に発生する問題があると聞きました。追加の設定を行う必要がありますが、それが何であるかわかりません。少なくとも2つあり、そのうちの1つはファイアウォールの外部IPであると想定します。以下の利用可能なものを使用します。
ASDMで、[構成]-> [ファイアウォール]-> NATルール]に移動します
[追加]-> [静的な追加]をクリックしますNAT Rule
[OK]をクリックします。 http/80が機能していることを確認したら、https/443に別のルールを追加できます。
次は私が最初に5510を手に入れたときに私を混乱させた部分ですので、どこに何を置くべきかを知っていることを確認してください。
アクセスルールに移動します(ASDM->構成->ファイアウォール->アクセスルール)
追加->アクセスルールの追加
[OK]をクリックします
それはそれであるはずです。外部/パブリックIPへのセキュリティアクセスを許可し、セキュリティルールで許可されている場合はNATが変換を行うという考えです。
Webインターフェイス(ASDM)の使用:
1。静的NATルールを追加します。 [構成]-> [NAT]に移動します。[追加]をクリックしてから[静的NATルール]]をクリックします。内部IP情報を[実際のアドレス]に入力し、外部IP情報を[静的変換]に入力します。[PATを有効にする]をオフにして、80(または443)を入力します。
2。トラフィックを許可するようにセキュリティポリシーを変更します。 [構成]-> [セキュリティポリシー]に移動します。 [追加]をクリックして、外部インターフェイス(送信元any)から内部IPアドレス(ポートを指定)への着信トラフィックを許可するルールを作成します。