ASA 5505 :: Roteado / NAT ou modo Transparente para dentro do servidor Web / DNS

1

Acabei de comprar um ASA 5505 que meu data center está configurando para mim. Eles me disseram que configurar o ASA para roteado com o NAT interromperia o servidor Web / DNS na rede interna.

Por exemplo: O endereço IP WAN 66.xxx.47.x - traduzido para o endereço IP da LAN 192.168.0.1 na rede interna - não fornecerá o IP da WAN para o servidor Web / DNS interno, que aparentemente destruirá o DNS - de Claro DC não fornece outros detalhes.

A maioria das pessoas que fornecem serviços da web estão atrás de um ASA definido no modo Transparente? Parece que o modo transiente tem algumas desvantagens, não encerrando o tráfego da VPN sendo uma delas.

Parece que o roteado / NAT é o mais seguro / versátil, mas talvez eu não esteja vendo os benefícios do modo transiente, à primeira vista, parece ser um recurso rápido & maneira suja de se levantar & correndo, espero que mais do que isso.

Feedback apreciado, eu tenho que fazer o apelo sobre isso em breve.

    
por virtualeyes 27.07.2010 / 22:13

3 respostas

2

Uma entrada estática típica é assim:

static (inside,outside) 66.1.47.1 192.168.0.2 netmask 255.255.255.255

Se eles o programarem por meio do ASDM, ele normalmente lançará a parte do dns. Isso altera as respostas do DNS vindas de fora. NÃO é isso que você quer:

static (inside,outside) 66.1.47.1 192.168.0.2 netmask 255.255.255.255 dns

Livre-se dessa declaração de DNS e você deve estar bem

O modo transparente é muito bom, mas remove vários recursos do ASA. Vá com o modo roteado, a menos que você tenha um motivo para fazer o contrário.

    
por 27.07.2010 / 22:38
2

As entradas estáticas do ASA permitem que você use um manipulador "dns" que irá reescrever a resposta do DNS na hora. Se eles estão dizendo que isso não é possível, eles não sabem o que estão fazendo com o ASA.

    
por 27.07.2010 / 22:27
1

Depende de que tipo de configuração de DNS você tem.

Temos nossos servidores DNS e servidores web atrás de um ASA 5510 usando NAT.

No servidor DNS (BIND), fornecemos informações diferentes dependendo de qual endereço IP a solicitação vem. Isso é DNS de horizonte dividido .

Se a solicitação vem de dentro, respondemos com um IP interno.

Se a solicitação vier de fora, respondemos com um IP externo.

Por exemplo, se a solicitação vier de um host externo normal, responderemos com o IP 66.xxx.47.x do servidor da web. No entanto, se um host interno solicitar o IP, responderemos com o IP 192.168.0.x do servidor da Web.

Basicamente, é completamente possível colocar seu DNS e servidores da web atrás de um ASA usando NAT, desde que você configure seu servidor DNS corretamente.

    
por 27.07.2010 / 23:48