Назад | Перейти на главную страницу

ASA 5505: Как мне получить доступ к веб-серверу DMZ изнутри, используя общедоступный IP-адрес?

Мы используем 5505 ASA Sec + (8.2). Есть три интерфейса: внутренний (172.17.0.0/24), dmz (172.16.0.0/24) и внешний (например, 1.2.3.4).

Существуют статические правила NAT, которые транслируют 1.2.3.4 на серверы на dmz (включая 1.2.3.4:80 в 172.16.0.10:80). Они работают снаружи.

Как разрешить внутренним пользователям получать доступ к серверам DMZ, используя внешний IP-адрес, таким же образом, как и пользователям снаружи?

Поскольку мы используем трансляцию адресов порта (несколько разных серверов в зависимости от номера порта), я хочу избежать подделки DNS.

Не имеет значения, используем ли мы NAT или нет для прямого внутреннего dmz-трафика (большая часть трафика в любом случае будет проходить через общедоступный IP-адрес).

Текущая конфигурация NAT:

ASA Version 8.2(5) 

same-security-traffic permit inter-interface
same-security-traffic permit intra-interface

global (outside) 1 interface
global (dmz) 2 interface
nat (inside) 1 172.17.0.0 255.255.255.0
nat (dmz) 1 172.16.0.0 255.255.255.0
static (dmz,outside) tcp interface www 172.16.0.10 www netmask 255.255.255.255 
static (dmz,outside) tcp interface https 172.16.0.10 https netmask 255.255.255.255 
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
access-group dmz_access_in in interface dmz

При такой минимальной конфигурации внутренние пользователи вообще не могут получить доступ к серверам dmz. Как внутренние пользователи, так и серверы dmz могут получить доступ к Интернету снаружи, а серверы DMZ доступны из Интернета.

Я делал это в версии 8.3+, но я немного не уверен, как мы это делали в версии 8.2.

Думаю, это было примерно так:

static (dmz,inside) tcp {EXTERNAL IP} www 172.16.0.10 www netmask 255.255.255.255

или с ACL:

static (dmz,inside) {EXTERNAL IP} ACL1


access-list ACL1 extended ip host 172.16.0.10 {EXTERNAL IP} {EXTERNAL NETMASK}

Если это не сработает, я знаю, что следующие варианты работают для 8.3+, поэтому могут вам чем-то помочь

nat (inside,dmz) source static any interface destination static {External IP} SERVER1 service http http unidirectional no-proxy-arp

object network SERVER1
   host {Internal IP}

nat (dmz,outside) static {External IP}    

Теперь я уверен, что кое-что напортачил, чтобы кто-нибудь дал мне знать.