Como hospedar o servidor na zona DMZ de um ASA

8

Eu tenho um ASA5525-X com 9.1.2. Nele existem várias interfaces, mas principalmente eu estou olhando:

(sub-redes falsas)

  • 10.0.0.0/24, nível de segurança 100
  • fora de 10.0.200.0/24, nível de segurança 0
  • DMZ 10.0.100.0/24, nível de segurança 50

Eu tenho um servidor DNS na DMZ, 10.0.100.1, que eu posso acessar de dentro sem problemas. No entanto, quero que ele apareça como 10.0.200.95 (não um IP real para este exemplo) para as pessoas na Internet. Eu tenho o que eu pensei que era necessário para que isso funcionasse, mas quando eu testo, os pacotes estão sendo descartados pela ACL padrão.

Partes pertinentes da configuração:

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.0.200.194 255.255.255.192 
interface GigabitEthernet0/6
 nameif DMZ
 security-level 50
 ip address 10.0.100.254 255.255.255.0 
interface GigabitEthernet0/7
 nameif inside
 security-level 100
 ip address 10.0.0.254 255.255.255.0 

object network DMZ-DNS-Server-1
 host 10.0.100.1

nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,DMZ) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static DMZ DMZ no-proxy-arp route-lookup
nat (DMZ,outside) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (DMZ,outside-backup) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup

object network DMZ-DNS-Server-1
 nat (DMZ,outside) static 10.0.200.195 net-to-net

nat (inside,outside-backup) after-auto source dynamic any interface
nat (inside,outside) after-auto source dynamic any interface
nat (DMZ,outside) after-auto source dynamic any interface
nat (DMZ,outside-backup) after-auto source dynamic any interface


access-list traffic-in-outside extended permit tcp any host 10.0.200.195 eq domain 
access-list traffic-in-outside extended permit udp any host 10.0.200.195 eq domain 
access-group traffic-in-outside in interface outside

Alguma ideia?

some_guy_long_gone
fonte
as demais instruções nat foram adicionadas. O backup externo é uma segunda conexão com a Internet de outro provedor e é a reserva para o acesso à Internet e VPN, mas não está relacionado a este servidor (nenhum IP estático desse lado está sendo usado para ele).
some_guy_long_gone
desculpas, acho que editou o seu comentário em vez de adicionar um ...
some_guy_long_gone

Respostas:

8

Mude sua ACL para referenciar o endereço real do servidor (10.0.100.1) em vez do endereço traduzido (10.0.200.195). Essa é outra alteração no 8.3+. As ACLs correspondem em endereços reais.

Santino
fonte
1

Você precisará configurar um NAT estático para fazer isso, já que o 8.3+ mudou ligeiramente, em 9 você deseja fazer o seguinte:

object network STATIC_NAT
 host 10.0.100.1
 nat (DMZ,outside) static 10.0.200.95 
David Rothera
fonte
Está na configuração que compartilhei. O ASA dividiu-o em duas instruções de rede de objetos com o mesmo nome, mas foi configurado da mesma forma que você. Minha configuração listada mostra "net-to-net", mas originalmente eu a configurei sem essa peça e ainda não funcionou.
some_guy_long_gone
Ah, ok, você tentou usar o packet-tracercomando para emular um pacote passando pelo ASA para ver onde está falhando?
precisa
Sim, ele afirma que está sendo descartado pela ACL padrão, o que parece implicar que não está atingindo a ACL que criei para a porta 53 naquele IP.
some_guy_long_gone