ASA 5505:如何使用公共IP从内部访问DMZ Web服务器?

我们正在使用5505 ASA Sec +(8.2)。 有三个接口:内部(172.17.0.0/24),dmz(172.16.0.0/24)和外部(例如1.2.3.4)。

有一些静态NAT规则将1.2.3.4转换为dmz上的服务器(包括1.2.3.4:80到172.16.0.10:80)。 这些工作从外面。

如何让内部用户使用外部IP以与外部用户相同的方式访问DMZ服务器?

因为我们正在使用端口地址转换(取决于端口号的几个不同的服务器),我想避免DNS修改。

无论我们是否使用NAT来进行直接的dmz内部stream量(大部分stream量都将通过公共IP)。

当前的NATconfiguration:

ASA Version 8.2(5) same-security-traffic permit inter-interface same-security-traffic permit intra-interface global (outside) 1 interface global (dmz) 2 interface nat (inside) 1 172.17.0.0 255.255.255.0 nat (dmz) 1 172.16.0.0 255.255.255.0 static (dmz,outside) tcp interface www 172.16.0.10 www netmask 255.255.255.255 static (dmz,outside) tcp interface https 172.16.0.10 https netmask 255.255.255.255 access-group inside_access_in in interface inside access-group outside_access_in in interface outside access-group dmz_access_in in interface dmz 

通过这个最小configuration,内部用户根本无法访问dmz服务器。 内部用户和dmz服务器都可以在外部访问互联网,dmz服务器可以通过互联网访问。

我已经在8.3+上完成了这个工作,但是我们在8.2上如何使用它,我有些模糊。

我相信这是这样的:

 static (dmz,inside) tcp {EXTERNAL IP} www 172.16.0.10 www netmask 255.255.255.255 

或者用ACL:

 static (dmz,inside) {EXTERNAL IP} ACL1 access-list ACL1 extended ip host 172.16.0.10 {EXTERNAL IP} {EXTERNAL NETMASK} 

如果这不起作用,我知道以下为8.3+的作品,所以可能以某种方式帮助你

 nat (inside,dmz) source static any interface destination static {External IP} SERVER1 service http http unidirectional no-proxy-arp object network SERVER1 host {Internal IP} nat (dmz,outside) static {External IP} 

现在我确定我搞砸了一部分,所以有人让我知道。