Como eu alcanço meu servidor interno no IP externo?

10

Estamos tentando configurar o Cisco 5505, e isso foi feito através do ASDM.

Há um grande problema que não conseguimos resolver e é quando você passa de dentro para fora e volta a entrar.

Por exemplo, temos um servidor "interno" e queremos poder alcançá-lo com o mesmo endereço se estivermos do lado de dentro ou do lado de fora.

O problema é adicionar uma regra que permita o tráfego de dentro para fora e depois volte novamente.

Fore
fonte
Não há como ajudá-lo com tão pouca informação, os ASA são complexos, você precisa de um funcionário da rede para configurá-lo, caso contrário, ele deixará de funcionar no pior momento possível ou você será hackeado.
Chopper3
Off-topic: Você deve olhar para a atualização que ASA para uma versão de software mais recente, como todos os novos documentos / how-to de são escritos para 8.x
pauska
pauska, pensamos nisso e tentamos obter o firmware mais recente, mas paramos, pois parecia custar mais, mas talvez valha a pena!
Fore

Respostas:

17

O firewall ASA não pode rotear tráfego. Você precisa masq o endereço interno contra o endereço externo.

Solução 1: DNS manipulando com NAT estático

Digamos que o endereço IP do seu site externo seja 1.2.3.4, que é novamente encaminhado por porta (ou diretamente com NAT) para o endereço IP interno 192.168.0.10. Com a manipulação de DNS, o seguinte acontecerá:

  1. O cliente interno solicita http://www.companyweb.com , que é traduzido originalmente para 1.2.3.4
  2. O ASA intercepta o pacote de resposta DNS e substitui o registro A por 192.168.0.10
  3. O cliente fica muito feliz, pois agora pode abrir o site da empresa :-)

Para informações mais detalhadas sobre como você habilita isso: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

Solução 2: servidor DNS interno

Este é útil se você tiver apenas um IP externo e encaminhar esse IP para muitos serviços internos em servidores diferentes (digamos que as portas 80 e 443 vão para 192.168.0.10, a porta 25 vai para 192.168.0.11 etc.).

Não requer nenhuma alteração de configuração no ASA, mas exigirá que você duplique seu domínio externo em um servidor DNS interno (o Active Directory tem isso incorporado). Você acabou de criar exatamente os mesmos registros que possui agora, apenas com IPs internos nos serviços que possui internamente.

"Solução" 3: interface DMZ com IPs públicos

Não vou entrar em muitos detalhes sobre este, pois exige que você obtenha uma sub-rede de endereços IP do seu ISP roteada para o seu ASA. Hoje em dia está muito difícil com a falta de IPv4.

pauska
fonte
Boa resposta. +1
Carlos Garcia
Muito obrigado pela resposta agradável, acho que iremos para o sistema interno de DNS. E pensando em comprar um upgrade no asa
Fore
1
Eu percebi que o número 1 funciona muito bem se eu tiver um mapa de inspeção de DNS. Nos firewalls ASA onde eu não tinha o mapa de inspeção, isso falhou ( fixup protocol dnsfunciona também). Obrigado por me levar a analisar isso mais profundamente.
precisa saber é
3

Como outras perguntas semelhantes estão sendo marcadas como duplicadas com uma referência aqui, desejo complementar a excelente resposta de @pauska com uma quarta opção.

Solução 4: roteando o tráfego pelo NAT Hairpinning

Permitir o tráfego de volta através de uma interface em um dispositivo Cisco PIX / ASA, como quando um cliente nativo acessa um servidor natado através de seu IP público, é chamado NAT Hairpinning by Cisco.

Ele usa essencialmente os mesmos parâmetros de configuração de sempre para o encaminhamento nat e port, mas com a adição deste comando:

same-security-traffic permit intra-interface

e um segundo mapeamento estático para tráfego de dentro para dentro do servidor:

static(inside,inside) i.i.i.i x.x.x.x

Isso é descrito detalhadamente com um exemplo de configuração aqui para um design de duas interfaces: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

E aqui está uma alternativa NAT de destino para um design de três interfaces: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2

ErikE
fonte
1

Você não pode acessar a interface externa em um Pix / ASA a partir do interior. Você deve redirecionar solicitações de DNS para o endereço externo do servidor para o endereço interno.

ewwhite
fonte