Я пытался настроить NAT и предоставить доступ к общедоступному IP-адресу в моей локальной сети, я просто не могу заставить его работать. Я впервые использую межсетевой экран Cisco.
Спасибо за вашу помощь!
Поскольку вы впервые используете брандмауэр, я упоминаю дополнительную конфигурацию, которая поможет вам в изучении / отладке конфигурации ASA.
interface FastEthernet 0/0
nameif outside
security-level 0
ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
nameif inside
security-level 100
ip address <inside_ip_firewall> <inside netmask>
access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside
route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>
telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside
Вы можете добавить ведение журнала, чтобы помочь вам с отладкой, используя
logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>
Сервер системного журнала должен прослушивать UDP-порт 514 на предмет сообщений системного журнала от брандмауэра. Они полезны при отладке проблем при экспериментировании с брандмауэром перед развертыванием в производственной среде.
Это крайне небезопасная конфигурация брандмауэра, так как Telnet включен, и это тоже со всех внутренних IP-адресов. Также все разрешено. Идея состоит в том, чтобы помочь вам протестировать конфигурацию NAT, не беспокоясь о ACL.
Теперь переадресовываем подключения к порту 80 для внешнего интерфейса ASA на использование сервера.
static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100
Аналогично для 443 используйте
static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100
Как только вы освоитесь с NAT, перейдите к внутреннему, внешнему и DMZ и настройте ограничительный ACL, чтобы разрешить только соответствующий трафик.
Существуют также другие типы NAT / PAT, которые вы можете настроить в ASA.
Похоже, что на это давно не отвечали, но я попытаюсь объяснить, что у нас есть на нашем 5510.
Во-первых, я слышал, что возникают проблемы, если у вас есть только один внешний / общедоступный IP-адрес. Вам нужно выполнить дополнительную настройку, и я не уверен, что это такое. Я предполагаю, что у вас есть как минимум два, и один из них - внешний IP-адрес брандмауэра. Мы будем использовать доступный ниже.
В ASDM перейдите в Configuration -> Firewall -> NAT Rules.
Нажмите Добавить -> Добавить правило статического NAT.
Щелкните ОК. Вы можете добавить еще одно правило для https / 443, когда убедитесь, что http / 80 работает.
Следующая деталь запутала меня, когда я впервые получил свой 5510, поэтому убедитесь, что вы знаете, что и куда положить.
Перейдите в Правила доступа (ASDM -> Конфигурация -> Брандмауэр -> Правила доступа)
Добавить -> Добавить правило доступа
Нажмите ОК
Так и должно быть. Я считаю, что идея заключается в том, что вы разрешаете безопасный доступ к внешнему / общедоступному IP-адресу, а затем NAT выполняет преобразование, если это разрешено правилом безопасности.
Используя веб-интерфейс (ASDM):
1. Добавьте правило статического NAT. Перейдите в Configuration -> NAT. Нажмите «Добавить», затем «Добавить правило статического NAT». Введите информацию о своем внутреннем IP-адресе в поле «Реальный адрес» и информацию о внешнем IP-адресе в разделе «Статический перевод». Отметьте «Включить PAT» и введите 80 (или 443).
2. Измените политику безопасности, чтобы разрешить трафик. Перейдите в Конфигурация -> Политика безопасности. Щелкните Добавить и создайте правило, разрешающее входящий трафик с внешнего интерфейса (любой источник) на внутренний IP-адрес (с указанием порта).