Назад | Перейти на главную страницу

Как мне получить доступ к внешнему порту PIX с переадресацией из внутренней сети?

У меня работает PIX 8.0 (3).

У меня есть переадресация портов, чтобы внешние пользователи могли подключаться к серверу в моей внутренней сети, настроенной следующим образом:

static (inside,outside) tcp interface 8080 192.168.168.100 8080 netmask 255.255.255.255
access-list ACLIN extended permit tcp any host xx.xx.xx.135 eq 8080

... и это работает для внешних пользователей. Но люди во внутренней сети не могут ударить http: //xx.xx.xx.135: 8080, какой ACL я должен добавить, чтобы разрешить это?

Доступ к внутреннему хосту с внешнего IP-адреса NAT добавляет ряд проблем.

Во-первых, необходимо настроить PIX / ASA, чтобы разрешить этот тип связи. Обычно этого не происходит по умолчанию.

Во-вторых, это может привести к ряду проблем с асимметричной маршрутизацией. Например, обход NAT не изменяет исходный IP-адрес входящего пакета. Так что может случиться так, что H1 (внутренний хост) сделает запрос к ES1 (IP / порт внешнего сервера). На брандмауэре NAT изменяет пункт назначения с ES1 на IS1 (IP / порт внутреннего сервера) и перенаправляет трафик. IS1 обрабатывает запрос, видит, что H1 находится в локальной сети, и пересылает его туда. H1 отклоняет соединение, потому что он установил соединение с ES1 и ожидает трафика от ES1 на этом порту, а не от IS1.

Выполните поиск в Интернете по запросу «шпилька Cisco ASA», и вы найдете ряд дискуссий о решении этих проблем на сайте Cisco, а также большое количество ссылок, не относящихся к Cisco. Например: https://supportforums.cisco.com/thread/1003238