Precisa de ajuda para tornar o site disponível externamente

Question

Precisa de ajuda para tornar o site disponível externamente

#1 resposta do (1 votos)

1

Estou tentando abrir um buraco no firewall (ASA 5505, v8.2) para permitir acesso externo a um aplicativo da Web. Via ASDM (6.3?), Eu adicionei o servidor como um servidor público, que cria uma entrada NAT estática [Eu estou usando o IP público que é atribuído a 'NAT - saída dinâmica' para a LAN, depois de confirmar em os fóruns da Cisco que não trariam o acesso de todos desmoronando] e uma regra de entrada "qualquer ... public_ip ... https ... allow", mas o tráfego ainda não está chegando. Quando eu olho para o visualizador de log, ele diz que é negado pelo access-group outside_access_in, regra implícita, que é "any any ip deny"

Eu não tive muita experiência com o gerenciamento da Cisco. Não consigo ver o que estou perdendo para permitir essa conexão, e estou imaginando se há algo mais especial a acrescentar. Eu tentei adicionar uma regra (várias variações) dentro desse grupo de acesso para permitir https para o servidor, mas isso nunca fez diferença. Talvez eu não tenha encontrado a combinação certa? : P

Eu também me certifiquei de que o firewall do Windows está aberto na porta 443, embora eu tenha certeza que o problema atual é a Cisco, por causa dos logs. :)

Alguma ideia? Se você precisar de mais informações, por favor me avise.

Obrigado

Editar: Primeiro de tudo, eu tive isso para trás. (Desculpe) O tráfego está sendo bloqueado pelo grupo de acesso "inside_access_out", que é o que me confundiu em primeiro lugar. Acho que me confundi novamente no meio da digitação da pergunta.

Aqui, eu acredito, é a informação pertinente. Por favor, deixe-me saber o que você vê errado.

access-list acl_in extended permit tcp any host PUBLIC_IP eq https  
access-list acl_in extended permit icmp CS_WAN_IPs 255.255.255.240 any  
access-list acl_in remark Allow Vendor connections to LAN  
access-list acl_in extended permit tcp host Vendor any object-group RemoteDesktop  
access-list acl_in remark NetworkScanner scan-to-email incoming (from smtp.mail.microsoftonline.com to PCs)  
access-list acl_in extended permit object-group TCPUDP any object-group Scan-to-email host NetworkScanner object-group Scan-to-email  
access-list acl_out extended permit icmp any any  
access-list acl_out extended permit tcp any any  
access-list acl_out extended permit udp any any  
access-list SSLVPNSplitTunnel standard permit LAN_Subnet 255.255.255.0  
access-list nonat extended permit ip VPN_Subnet 255.255.255.0 LAN_Subnet 255.255.255.0  
access-list nonat extended permit ip LAN_Subnet 255.255.255.0 VPN_Subnet 255.255.255.0  
access-list inside_access_out remark NetworkScanner Scan-to-email outgoing (from scanner to Internet)  
access-list inside_access_out extended permit object-group TCPUDP host NetworkScanner object-group Scan-to-email any object-group Scan-to-email  
access-list inside_access_out extended permit tcp any interface outside eq https

static (inside,outside) PUBLIC_IP LOCAL_IP[server object] netmask 255.255.255.255

access-group inside_access_out out interface inside  
access-group acl_in in interface outside
access-group acl_out out interface outside

Eu não tinha certeza se precisava reverter essa entrada "estática", já que confundi minha pergunta ... e também com a última entrada da lista de acesso, tentei a interface interna e externa - nenhuma delas se mostrou bem-sucedida. .. e eu não tinha certeza se deveria ser www, já que o site está rodando em https. Eu presumi que deveria ser apenas https.

configuration remote-access firewall website cisco-asa

por White Island 06.07.2012 / 14:17

1 resposta

Tags configuration remote-access firewall website cisco-asa

Qual é o melhor lugar para colocar umask configuração para php-fpm no Centos 6? Apache ProxyPassReverse com parâmetros da solicitação

score 1 · Accepted Answer

Ah, provavelmente é culpa da CISCO. Honestamente, para mim, o ASDM é um pouco confuso, então vou passar a diretiva de linhas de comando para você:

ssh pix@INTERNAL_IP
[type cisco password]
enable
[retype password]
show conf <- retrieve the config plain text

Agora você deve ter linhas como essa

access-group outside_access_in in interface outside
access-list outside_access_in extended permit tcp any interface outside eq www

Talvez o nome da lista de acesso seja diferente, mas não importa. Também no meu caso a interface externa é um alias para o VLan2 no qual a internet está conectada. Isso permite que o tráfego para conexão www seja aceito.

Agora, para o encaminhamento de porta, você precisa de uma linha como essa:

static (inside,outside) tcp interface www LOCAL_IP www netmask 255.255.255.255

Novamente o interior é um nome para minha interface local, que atua como um gateway para a rede. Se você não tiver linhas como essa, basta adicioná-las com configure terminal . Adicione as linhas mágicas e deve funcionar. Se você precisar de alguma ajuda no console, use a mágica ? :)