Cisco ASA Hairpinning com IP Dinâmico

Navegue suas respostas
1

Atualmente tenho meu firewall Cisco ASA 5505 configurado para encaminhar a porta 80 da interface externa para um host na minha interface dmz. Eu também preciso permitir que os clientes na minha interface interna acessem o host no dmz inserindo o registro ip / dns público em seus navegadores. Consegui fazer isso seguindo as instruções aqui , resultando na seguinte configuração: 

static (dmz,outside) tcp interface www 192.168.1.5 www netmask 255.255.255.255 
static (dmz,inside) tcp 74.125.45.100 www 192.168.1.5 www netmask 255.255.255.255

(Onde 74.125.45.100 é meu IP público e 192.168.1.5 é o IP do host dmz)

Isso funciona muito bem, exceto pelo fato de que minha rede tem um IP público dinâmico e, portanto, essa configuração será interrompida assim que meu IP público for alterado. Existe uma maneira de fazer o que eu quero com um ip dinâmico?

Observação: Adicionar um registro DNS interno não resolve meu problema, pois tenho vários hosts dmz mapeados para portas diferentes no IP público.

    
por Joseph Sturtevant 03.06.2009 / 06:18

3 respostas

3

Eu me pergunto por que os clientes por trás da interface interna precisam inserir o IP público, não seria mais fácil para eles usar o IP privado do host da DMZ. Então você poderia fazer uma nat normal, por exemplo.

estática (dmz, dentro) tcp (dentro da faixa IP) www 192.168.1.5 www netmask 255.255.255.255

Tanto quanto eu entendi o problema no seu caso é que, quando um cliente faz uma solicitação de DNS, o servidor DNS da Internet lhe dá o atual endereço IP externo do ASA de volta. Depois disso, o cliente tenta se conectar a esse IP, portanto, um pacote é enviado para a interface externa e precisa retornar à interface DMZ.

Os firewalls da Cisco têm um problema, por padrão, eles nunca fornecem um pacote com a mesma interface em que eles obtêm. O Cisco resolveu isso desde a versão 7.2 com o comando follow cli:

ASA (config) # autorização para o mesmo tráfego de segurança intra-interface

Então, tanto quanto eu entendi você ignorou exectaly esse comportamento, adicionando o segundo NAT estático. Na minha opinião, se você remover a segunda entrada NAT e ativar a mesma opção de tráfego de segurança, isso deve funcionar.

Mas sugiro que você compre um IP público: -)

    
por 10.06.2009 / 17:31
1

Acho que a única resposta que você vai conseguir é não.

Não há como uma ACL ou uma declaração NAT responder por um endereço IP em mudança, isso não pode acontecer.

    
por 09.06.2009 / 18:33
0

Na verdade, você pode fazê-lo funcionar com alterações internas do DNS.

Digamos que você tenha vários serviços, por exemplo: 

static (dmz,outside) tcp interface www 192.168.1.5 www netmask 255.255.255.255
static (dmz,outside) tcp interface smtp 192.168.1.6 www netmask 255.255.255.255
static (dmz,outside) tcp interface ftp 192.168.1.9 www netmask 255.255.255.255

Digamos que você tenha example.org apontado usando um provedor de DNS dinâmico para seu endereço IP público em constante mudança.

Você pode executar um servidor de nomes interno apontando example.org em, digamos, 192.168.1.254 e usar o seguinte: 

static (dmz,inside) tcp 192.168.1.254 www 192.168.1.5 www netmask 255.255.255.255
static (dmz,inside) tcp 192.168.1.254 smtp 192.168.1.6 www netmask 255.255.255.255
static (dmz,inside) tcp 192.168.1.254 ftp 192.168.1.9 www netmask 255.255.255.255

Em seguida, você aponta seus clientes para o seu servidor de nomes interno e faz isso.

A ressalva é que para cada novo serviço que você adicionar, você terá que configurar uma estática para a rede interna e uma estática para a interface externa, bem como permitir isso nas ACLs de dentro e de fora. No entanto, quando o seu IP público for alterado, o tráfego continuará para onde você deseja ir.

    
por 22.04.2010 / 23:05

Tags

Best Antivirus for Workstation hoje [fechado] Existe uma maneira de facilitar a interface com a ACL de nossa rede?