Я пытаюсь открыть брешь в брандмауэре (ASA 5505, v8.2), чтобы разрешить внешний доступ к веб-приложению. Через ASDM (6.3?) Я добавил сервер в качестве общедоступного сервера, который создает статическую запись NAT [я использую общедоступный IP-адрес, назначенный для «динамического NAT - исходящий» для локальной сети, после подтверждения на форумы Cisco о том, что это не приведет к сбою доступа для всех] и входящее правило «любой ... public_ip ... https ... разрешить», но трафик все еще не проходит. Когда я смотрю на средство просмотра журнала, он говорит, что он запрещен группой доступа external_access_in, неявным правилом, которое означает «любой любой IP запрещает»
У меня не было большого опыта в управлении Cisco. Я не вижу, что мне не хватает, чтобы разрешить это соединение, и мне интересно, есть ли еще что-нибудь особенное, что я должен добавить. Я попытался добавить правило (несколько вариантов) в эту группу доступа, чтобы разрешить https на сервере, но это никогда не имело значения. Может, я не нашел нужной комбинации? :П
Я также убедился, что брандмауэр Windows открыт на порту 443, хотя я почти уверен, что текущая проблема - это Cisco из-за журналов. :)
Любые идеи? Если вам нужна дополнительная информация, дайте мне знать.
Спасибо
Изменить: Прежде всего, у меня было это наоборот. (Извините) Трафик блокируется группой доступа inside_access_out, что в первую очередь меня смутило. Думаю, я снова запутался, когда набирал вопрос.
Вот, я думаю, уместная информация. Пожалуйста, дайте мне знать, что вы видите не так.
access-list acl_in extended permit tcp any host PUBLIC_IP eq https
access-list acl_in extended permit icmp CS_WAN_IPs 255.255.255.240 any
access-list acl_in remark Allow Vendor connections to LAN
access-list acl_in extended permit tcp host Vendor any object-group RemoteDesktop
access-list acl_in remark NetworkScanner scan-to-email incoming (from smtp.mail.microsoftonline.com to PCs)
access-list acl_in extended permit object-group TCPUDP any object-group Scan-to-email host NetworkScanner object-group Scan-to-email
access-list acl_out extended permit icmp any any
access-list acl_out extended permit tcp any any
access-list acl_out extended permit udp any any
access-list SSLVPNSplitTunnel standard permit LAN_Subnet 255.255.255.0
access-list nonat extended permit ip VPN_Subnet 255.255.255.0 LAN_Subnet 255.255.255.0
access-list nonat extended permit ip LAN_Subnet 255.255.255.0 VPN_Subnet 255.255.255.0
access-list inside_access_out remark NetworkScanner Scan-to-email outgoing (from scanner to Internet)
access-list inside_access_out extended permit object-group TCPUDP host NetworkScanner object-group Scan-to-email any object-group Scan-to-email
access-list inside_access_out extended permit tcp any interface outside eq https
static (inside,outside) PUBLIC_IP LOCAL_IP[server object] netmask 255.255.255.255
access-group inside_access_out out interface inside
access-group acl_in in interface outside
access-group acl_out out interface outside
Я не был уверен, нужно ли мне отменить эту "статическую" запись, так как я перепутал свой вопрос ... а также с этой последней записью в списке доступа я пробовал интерфейс внутри и снаружи - ни один из них не оказался успешным ... и Я не был уверен, должно ли это быть www, поскольку сайт работает по https. Я предположил, что это должен быть только https.
Угу, наверное, это вина CISCO. Честно говоря, для меня ASDM немного сбивает с толку, поэтому я передам вам директиву командной строки:
ssh pix@INTERNAL_IP
[type cisco password]
enable
[retype password]
show conf <- retrieve the config plain text
Теперь у вас должны быть такие строки
access-group outside_access_in in interface outside
access-list outside_access_in extended permit tcp any interface outside eq www
Возможно, имя списка доступа другое, но это не имеет значения. Также в моем случае внешний интерфейс - это псевдоним для VLan2, к которому подключен Интернет. Это позволяет принимать трафик для соединения www.
Теперь для переадресации портов вам понадобится такая строка:
static (inside,outside) tcp interface www LOCAL_IP www netmask 255.255.255.255
Снова внутри это имя моего локального интерфейса, который действует как шлюз для сети. Если у вас нет таких строк, просто добавьте их с помощью configure terminal. Добавьте волшебные линии, и все должно работать. Если вам нужна помощь в консоли, просто используйте магию ?:)