外部IPで内部サーバーに到達するにはどうすればよいですか？

Cisco 5505の設定を試みており、ASDMを介して行われています。

私たちが解決できない大きな問題が1つあります。それは、あなたが内側から外側に行き、再び戻るときです。

たとえば、「内部」にサーバーがあり、内部にいる場合でも外部にいる場合でも、同じアドレスでこのサーバーにアクセスできるようにしたいとします。

問題は、内部から外部へのトラフィックを許可し、その後再びトラフィックを許可するルールを追加することです。

ASAファイアウォールはトラフィックをルーティングできません。外部アドレスに対して内部アドレスをマスキングする必要があります。

解決策1：静的NATによるDNSドクター

外部WebサイトのIPアドレスが1.2.3.4であり、内部IPアドレス192.168.0.10にポート転送（または直接NAT変換）されているとします。DNS Doctoringを使用すると、次のことが起こります。

1. 内部のクライアントはhttp://www.companyweb.comを要求しますが、元々は1.2.3.4に変換されます
2. ASAはDNS応答パケットを代行受信し、Aレコードを192.168.0.10に置き換えます
3. これで会社のWebサイトを開くことができるため、クライアントは非常に満足します:-)

これを有効にする方法の詳細については、http：//www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

解決策2：内部DNSサーバー

これは、外部IPが1つしかなく、このIPを異なるサーバー上の多くの内部サービスにポート転送する場合に便利です（たとえば、ポート80と443が192.168.0.10に、ポート25が192.168.0.11に行くとします）。

ASAでの設定変更は必要ありませんが、内部DNSサーバーで外部ドメインを複製する必要があります（Active Directoryにはこれが組み込まれています）。現在とまったく同じレコードを作成するだけで、内部にあるサービスの内部IPのみが使用されます。

「ソリューション」 3：パブリックIPを持つDMZインターフェイス

ASAにルーティングされたISPからIPアドレスのサブネットを取得する必要があるため、これについては詳しく説明しません。最近のIPv4飢餓は非常に困難です。

他の同様の質問がここを参照して重複としてマークされているので、4番目のオプションで@pauskaによる優れた回答を補完したいと思います。

解決策4：NATヘアピニングを介してトラフィックをルーティングする

nat：edクライアントがそのパブリックIPを介してnat：edサーバーにアクセスする場合など、トラフィックがCisco PIX / ASAアプライアンスのインターフェイスを介して戻ることを許可することは、NATヘアピニングと呼ばれます。

natおよびポート転送の場合と基本的に同じ構成パラメーターを使用しますが、次のコマンドが追加されています。

same-security-traffic permit intra-interface

サーバーへの内部から内部へのトラフィックの2番目の静的マッピング：

static(inside,inside) i.i.i.i x.x.x.x

これについては、2インターフェイス設計の設定例を使用して詳細に説明しています。http：//www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

そして、これが3インターフェイス設計の宛先NATの代替案です。http：//www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2

内部からPix / ASAの外部インターフェイスにアクセスできません。サーバーの外部アドレスに対するDNS要求を内部アドレスにリダイレクトする必要があります。