ASAのDMZゾーンでサーバーをホストする方法

8

9.1.2を備えたASA5525-Xを持っています。その上にいくつかのインターフェースがありますが、主に私は見ています:

(偽のサブネット)

  • 10.0.0.0/24内、セキュリティレベル100
  • 10.0.200.0/24外、セキュリティレベル0
  • DMZ 10.0.100.0/24、セキュリティレベル50

DMZにDNSサーバー10.0.100.1があり、内部から問題なくアクセスできます。ただし、インターネット上のユーザーには10.0.200.95(この例では実際のIPではありません)として表示されます。私はこれが機能するために必要だと思ったものを持っていますが、それをテストすると、パケットはデフォルトのACLによってドロップされています。

関連する構成要素:

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.0.200.194 255.255.255.192 
interface GigabitEthernet0/6
 nameif DMZ
 security-level 50
 ip address 10.0.100.254 255.255.255.0 
interface GigabitEthernet0/7
 nameif inside
 security-level 100
 ip address 10.0.0.254 255.255.255.0 

object network DMZ-DNS-Server-1
 host 10.0.100.1

nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,DMZ) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static DMZ DMZ no-proxy-arp route-lookup
nat (DMZ,outside) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (DMZ,outside-backup) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup

object network DMZ-DNS-Server-1
 nat (DMZ,outside) static 10.0.200.195 net-to-net

nat (inside,outside-backup) after-auto source dynamic any interface
nat (inside,outside) after-auto source dynamic any interface
nat (DMZ,outside) after-auto source dynamic any interface
nat (DMZ,outside-backup) after-auto source dynamic any interface


access-list traffic-in-outside extended permit tcp any host 10.0.200.195 eq domain 
access-list traffic-in-outside extended permit udp any host 10.0.200.195 eq domain 
access-group traffic-in-outside in interface outside

何か案は?

cisco  cisco-asa  nat 
some_guy_long_gone
ソース
残りのnatステートメントが追加されました。外部バックアップは、別のプロバイダーからの2番目のインターネット接続であり、インターネットおよびvpnアクセスのフォールバックですが、このサーバーには関連していません(その側からの静的IPは使用されていません)。
some_guy_long_gone 2013年
申し訳ありませ

回答:

8

変換されたアドレス(10.0.200.195)ではなく、サーバーの実際のアドレス(10.0.100.1)を参照するようにACLを変更します。これは8.3以降の別の変更です。ACLは実際のアドレスで一致します。

サンティーノ
ソース
1

これを行うには、スタティックNATをセットアップする必要があります。8.3以降では少し変更されているため、9では次のように行います。

object network STATIC_NAT
 host 10.0.100.1
 nat (DMZ,outside) static 10.0.200.95
デビッドロセラ
ソース
それは私が共有した設定にあります。ASAはそれを同じ名前の2つのオブジェクトネットワークステートメントに分割しましたが、あなたが持っているのと同じように設定されました。リストにある構成には「ネットツーネット」と表示されていますが、最初はその部分なしで構成しましたが、それでも機能しませんでした。
some_guy_long_gone 2013年
ああ、packet-tracerコマンドを使用してASAを通過するパケットをエミュレートして、どこで失敗しているか確認しましたか?
David Rothera 2013年
はい、デフォルトのACLによってドロップされていることを示しています。これは、そのIPでポート53用に作成したACLにヒ​​ットしていないことを意味しているようです。
some_guy_long_gone 2013年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.