Топология моей лабораторной сети с брандмауэром asa следующая
10.10.10.20 -> ASA ---> 192.168.1.10 -> внешний сайт
Мне нужен клиент с IP-адресом 10.10.10.20 для доступа к внешним веб-сайтам, поэтому я настроил nat
nat (inside,outside) static 192.168.1.10
и список доступа
access-list outside-acl extended permit tcp any host 10.10.10.20 eq www
access-list outside-acl extended permit tcp any host 10.10.10.20 eq domain
access-list inside-acl extended permit tcp 10.10.10.0 255.255.255.0 any eq www
access-list inside-acl extended permit tcp 10.10.10.0 255.255.255.0 any eq domain
access-group outside-acl in interface outside
access-group inside-acl in interface inside
когда я захожу на веб-сайт с его доменным именем, он не может получить к нему доступ, но я получаю доступ к веб-сайту с IP-адресом, он работает - как мне это исправить?
Исходя из предоставленных вами рекомендаций, вам не нужен набор правил external-acl. Просто используйте их внутри.
Я предполагаю, что ваш DNS расположен на стороне 192.168.1.0/24. Обратите внимание, что без дополнительной информации сложно заблокировать наборы правил DNS, поэтому я открыл их как 53 / udp для всех адресов. Преобразователи DNS итеративно запрашивают разные авторитетные хосты, пока не найдут правильный DNS-сервер, поэтому пока оставьте DNS открытым.
access-list inside-acl extended permit tcp 10.10.10.0 255.255.255.0 any eq www
! I am assuming your DNS is somewhere on the 10.10.10.x side
access-list inside-acl extended permit tcp 10.10.10.0 255.255.255.0 any eq domain
access-list inside-acl extended permit udp 10.10.10.0 255.255.255.0 any eq domain
access-group inside-acl in interface inside
Что касается вашего оператора nat, синтаксис, который вы включили, неверен, но я предполагаю, что вы сделали что-то вроде этого
static (inside,outside) 192.168.1.10 10.10.10.0 netmask 255.255.255.0