web-dev-qa-db-ja.com

初心者向けのCiscoASAポートフォワーディング

私は私立学校の請負業者であり、モバイルアプリで使用するデータベースへのパブリックAPIの開発を担当しています。

彼らは学校の敷地内で独自のWebサイトをホストし、ネットワークはCLI8.2を実行しているCiscoASA5510によって制御されています。

彼らは私にこのプロジェクト専用のブレードサーバーと静的IPを提供しているので、私はSysAdminにIPをマシンにマップし、ポート80とポート22へのアクセスを開くように依頼しました。

結局、男は自分ができることを試したと言ったが、うまくいかなかったようだ。彼は明らかに彼らのシステムを構成した人ではなく、私はシスコの経験がまったくないので、ここの誰かが私を正しい方向に向けてくれることを望んでいます。

彼が送ってくれた「showrun」コマンドの出力は次のとおりです。 http://Pastebin.com/ikdSRg7j 。私たちが開こうとしているが動作しないマシンは211で終わり、正常に動作しているWebサイトは209です。

ServerFaultでのCiscoASAポートフォワーディングについて多くの質問があることは知っていますが、ASAのマニュアルを読んだ後でも、デバイスの経験がほとんどないため、答えはあまり役に立ちません。事前にお詫び申し上げます。

3
manglewood

ステップ1:この問題を修正します... acl_outによって参照されるaccess-group acl_out in interface Outsideに関連します

! ... more acl lines above
access-list acl_out extended permit tcp any Host 222.22.2.215 eq 3389
            ^^^^^^^
access-list acl-out extended permit tcp any Host 222.22.2.210 eq www
access-list acl-out extended permit tcp any Host 222.22.2.210 eq ssh
access-list acl-out extended permit tcp any Host 222.22.2.211 eq ssh
access-list acl-out extended permit tcp any Host 222.22.2.211 eq www
            ^^^^^^^

acl-outは正しい名前ではありません。 acl_outを使用する必要があります

ASA CLIを使用してACLの下部に次の行を追加し、再度テストしてください。

access-list acl_out extended permit tcp any Host 222.22.2.210 eq www
access-list acl_out extended permit tcp any Host 222.22.2.210 eq ssh
access-list acl_out extended permit tcp any Host 222.22.2.211 eq ssh
access-list acl_out extended permit tcp any Host 222.22.2.211 eq www
1
Mike Pennington

プロトタイプのセットアップ(有効モードになっていることを確認してください):

ネットワークに入ることができるトラフィックを制御するアクセスリストが外部インターフェイスにあるはずです。まだ存在していない可能性がありますが、インバウンドルールがすでに存在する場合は存在します。

このようなアクセスリストがあるかどうかを確認するには、

show run access-group

それは次のようなものを返すはずです

インターフェイスインターネットのアクセスグループInternet_In

これは、(右から左に読む)「インターネット」インターフェース(nameif Internetに示されているshow run intのインターフェース)へのトラフィック、つまりインバウンドトラフィックがアクセスリスト「Internet_In」を通過する必要があることを意味します。

このアクセスリストは、次のコマンドで表示できます。

show run access-list Internet_In access-list Internet_In extended permit tcp any Host $ {Public_IP} eq $ {Public_Port}

その2番目の行は、転送されるIPとポートの組み合わせごとに、通常何度も表示されます。欠落している行を特定します。アクセスグループがまったくない場合は、セキュリティのためにアクセスグループを用意する必要があります。通常、アクセスリストから1行か3行が欠落しているだけです。

アクセスリストに行を追加するには、conf tを使用して設定モードに入り、アクセスリストに必要な行を前に示したのとまったく同じ形式で入力します。

トラフィックの流入を許可したら、NATを実行している場合、ASAはトラフィックの行き先を知る必要があります。 staticコマンドは、トラフィックをNATインターフェイスを介して逆方向にマッピングします。このASAでNATを使用していない場合は、使用しません。このマッピングについて心配する必要があります(show run natはNAT構成)を表示します)。

既存の静的構成を起動するには、次のようにします。

show run static

次のようなマッピング設定がすでにある場合は、何かが返されるはずです。

static(inside、Internet)tcp $ {Public_IP} $ {Public_Port} $ {Priv_IP} $ {Priv_Port} netm 255.255.255.255

ここで、「内部」と「インターネット」はインターフェースのnameifであり、残りはかなり自明です。繰り返しますが、欠落している行を特定し、構成モードで追加します。

2
Chris S