ASA 5505: Como eu acesso o servidor web DMZ de dentro usando o IP público?

3

Estamos usando um 5505 ASA Sec + (8.2). Existem três interfaces: inside (172.17.0.0/24), dmz (172.16.0.0/24) e outside (1.2.3.4 para o exemplo).

Existem regras NAT estáticas configuradas traduzindo 1.2.3.4 para servidores na dmz (incluindo 1.2.3.4:80 a 172.16.0.10:80). Estes trabalham do lado de fora.

Como faço para permitir que usuários internos acessem os servidores DMZ usando o IP externo da mesma maneira que os usuários externos?

Como estamos usando a conversão de endereços de porta (vários servidores diferentes, dependendo do número da porta), desejo evitar a manipulação de DNS.

Não importa se usamos NAT ou não para tráfego direto dentro de dmz (a maioria do tráfego será através do IP público de qualquer maneira).

A configuração atual da NAT:

ASA Version 8.2(5) 

same-security-traffic permit inter-interface
same-security-traffic permit intra-interface

global (outside) 1 interface
global (dmz) 2 interface
nat (inside) 1 172.17.0.0 255.255.255.0
nat (dmz) 1 172.16.0.0 255.255.255.0
static (dmz,outside) tcp interface www 172.16.0.10 www netmask 255.255.255.255 
static (dmz,outside) tcp interface https 172.16.0.10 https netmask 255.255.255.255 
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
access-group dmz_access_in in interface dmz

Com essa configuração mínima, os usuários internos não podem acessar os servidores dmz. Tanto usuários internos quanto servidores dmz podem acessar a internet sem problemas, e os servidores dmz são acessíveis pela internet.

    
por Nils 28.06.2015 / 15:39

1 resposta

1

Eu fiz isso em 8.3+, mas estou um pouco confuso sobre como costumávamos fazer isso em 8.2.

Eu acredito que foi algo assim:

static (dmz,inside) tcp {EXTERNAL IP} www 172.16.0.10 www netmask 255.255.255.255

ou com uma ACL:

static (dmz,inside) {EXTERNAL IP} ACL1


access-list ACL1 extended ip host 172.16.0.10 {EXTERNAL IP} {EXTERNAL NETMASK}

Se isso não funcionar, eu sei que os seguintes trabalhos para o 8.3+ podem ajudá-lo de alguma forma

nat (inside,dmz) source static any interface destination static {External IP} SERVER1 service http http unidirectional no-proxy-arp

object network SERVER1
   host {Internal IP}

nat (dmz,outside) static {External IP}    

Agora eu tenho certeza que estraguei parte disso para que alguém me avise.

    
por 29.10.2017 / 02:01