我们正在尝试configuration我们的思科5505,并已通过ASDM完成。
有一个大问题是我们无法解决的,那就是当你从内到外再回来的时候。
例如,我们有一个“内部”的服务器,如果我们在内部或者在外部,我们希望能够使用相同的地址访问这个服务器。
问题是增加一个规则,将允许从内部到外部的stream量,然后再回来。
ASA防火墙不能路由stream量。 您需要将内部地址与外部地址进行匹配。
解决scheme1:使用静态NAT进行DNS修复
假设您的外部网站IP地址是1.2.3.4,那么端口转发(或直接NAT)到内部IP地址192.168.0.10。 使用DNS修改,会发生以下情况:
有关如何启用此function的详细信息,请访问 : http : //www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml
解决scheme2:内部DNS服务器
如果你只有一个外部IP,并且你将这个IP端口转发到不同服务器上的许多内部服务(假设端口80和443转到192.168.0.10,端口25转到192.168.0.11等),这个是有用的。
它不需要在ASA上进行任何configuration更改,但需要在内部DNS服务器上复制外部域(Active Directory具有此内置function)。 您只需创build与您现在具有完全相同的logging,仅使用内部服务的内部IP。
“解决scheme” 3:与公有IP的DMZ接口
我不打算详细介绍这一点,因为它要求你从ISP的IP地址子网路由到你的ASA。 IPv4饥饿现在非常困难。
由于其他类似的问题在这里被标记为重复的,所以我想用第四个选项补充@pauska的优秀答案。
允许通过Cisco PIX / ASA设备上的接口返回stream量,例如当nat:ed客户端通过其公共IP访问NAT服务器时,称为NAT的Hairpinning。
它使用和nat和端口转发通常一样的configuration参数,但增加了这个命令:
same-security-traffic permit intra-interface
以及用于从内部到内部stream量到服务器的第二个静态映射:
static(inside,inside) iiii xxxx
这里详细介绍了一个双接口devise的configuration示例: http : //www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2
以下是三接口devise的目标NAT替代scheme: http : //www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2
您无法从内部访问Pix / ASA上的外部接口。 您应该将服务器的外部地址的DNS请求redirect到内部地址。