Como alcanço meu servidor interno no IP externo?

10

Estamos tentando configurar o Cisco 5505 e isso foi feito por meio do ASDM.

Existe um grande problema que não podemos resolver, e é quando você vai de dentro para fora e de volta.

Exemplo, temos um servidor "interno" e queremos ser capazes de alcançar este servidor com o mesmo endereço, se estivermos do lado de dentro ou se estivermos do lado de fora.

O problema é adicionar uma regra que permitirá o tráfego de dentro para fora e depois de volta.

    
por Fore 22.06.2011 / 13:13

3 respostas

17

O firewall ASA não pode rotear o tráfego. Você precisa mascarar o endereço interno com o endereço externo.

Solução 1: manipulação de DNS com NAT estático

Digamos que o endereço IP do seu site externo seja 1.2.3.4, que então é novamente encaminhado por porta (ou diretamente NAT) para o endereço IP interno 192.168.0.10. Com o DNS, o seguinte acontecerá:

  1. O cliente no interior solicita o link , que originalmente se traduz em 1.2.3.4
  2. O ASA intercepta o pacote de resposta do DNS e substitui o registro A por 192.168.0.10
  3. O cliente fica muito feliz, pois agora pode abrir o site da empresa: -)

Para informações mais detalhadas sobre como você permite isso: link

Solução 2: servidor DNS interno

Este é útil se você tiver apenas um IP externo, e você redireciona este IP para muitos serviços internos em servidores diferentes (digamos que a porta 80 e 443 vai para 192.168.0.10, a porta 25 vai para 192.168.0.11 etc. ).

Não requer nenhuma alteração de configuração no ASA, mas exigirá que você duplique seu domínio externo em um servidor DNS interno (o Active Directory tem isso integrado). Você acabou de criar exatamente os mesmos registros que possui agora, apenas com IPs internos nos serviços que você tem internamente.

"Solução" 3: interface DMZ com IP's públicos

Não vou entrar em muitos detalhes sobre isso, já que requer que você obtenha uma sub-rede de endereços IP do seu ISP roteado para o seu ASA. É muito difícil hoje em dia com a fome do IPv4.

    
por 22.06.2011 / 13:25
3

Como outras perguntas semelhantes estão sendo marcadas como duplicatas com uma referência aqui, desejo complementar a excelente resposta de @pauska com uma quarta opção.

Solução 4: direcionando o tráfego através do NAT Hairpinning

Permitir o tráfego de volta através de uma interface em um dispositivo Cisco PIX / ASA, como quando um cliente nat: ed acessa um servidor nat através de seu ip público é chamado NAT Hairpinning pela Cisco.

Ele usa essencialmente os mesmos parâmetros de configuração, como de costume, para nat e encaminhamento de porta, mas com a adição deste comando:

same-security-traffic permit intra-interface

e um segundo mapeamento estático para o tráfego dentro para dentro do servidor:

static(inside,inside) i.i.i.i x.x.x.x

Isso é descrito detalhadamente com um exemplo de configuração aqui para um design de duas interfaces: link

E aqui está uma alternativa NAT de destino para um design com três interfaces: link

    
por 13.11.2013 / 22:54
1

Você não pode acessar a interface externa em um Pix / ASA por dentro. Você deve redirecionar as solicitações de DNS para o endereço externo do servidor para o endereço interno.

    
por 22.06.2011 / 13:24