외부 IP에서 내부 서버에 어떻게 연결합니까?


10

Cisco 5505를 구성하려고 시도했으며 ASDM을 통해 수행되었습니다.

우리가 해결할 수없는 한 가지 큰 문제가 있는데, 그것은 당신이 내부에서 외부로 그리고 다시 안으로 들어갈 때입니다.

예를 들어, "내부"서버가 있고 내부에 있거나 외부에있는 경우 동일한 주소로이 서버에 연결할 수 있기를 원합니다.

문제는 내부에서 외부로의 트래픽을 허용 한 다음 다시 다시 허용하는 규칙을 추가하는 것입니다.


우리가 그러한 작은 정보로 당신을 도울 수있는 방법은 없습니다. ASA는 복잡합니다. 당신을 위해 이것을 구성하기 위해 네트워크 녀석이 필요합니다. 그렇지 않으면 최악의 시간에 작동을 멈추거나 해킹 당할 것입니다.
Chopper3

주제 외 : 모든 새 설명서 / 방법이 8.x 용으로 작성
되었으므로

pauska, 우리는 그것에 대해 생각하고 최신 펌웨어를 얻으려고 시도했지만 추가 비용이 들기 때문에 중단되었지만 그만한 가치가 있습니다!
Fore

답변:


17

ASA 방화벽은 트래픽을 라우팅 할 수 없습니다. 내부 주소를 외부 주소와 비교해야합니다.

해결 방법 1 : 정적 NAT를 사용한 DNS 의사

외부 웹 사이트 IP 주소가 1.2.3.4라고 가정하면 다시 내부 IP 주소 192.168.0.10으로 포트 전달됩니다 (또는 직접 NAT됩니다). DNS 의사와 함께 다음과 같은 일이 발생합니다.

  1. 내부의 클라이언트는 http://www.companyweb.com을 요청 하며 원래 1.2.3.4로 변환됩니다.
  2. ASA는 DNS 응답 패킷을 가로 채 A 레코드를 192.168.0.10으로 바꿉니다.
  3. 이제 회사 웹 사이트를 열 수 있기 때문에 클라이언트는 매우 행복해집니다 :-)

이를 활성화하는 방법에 대한 자세한 내용은 http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

해결 방법 2 : 내부 DNS 서버

이것은 하나의 외부 IP 만 가지고 있고이 IP를 다른 서버의 많은 내부 서비스로 포트 전달하는 경우 유용합니다 (포트 80 및 443은 192.168.0.10, 포트 25는 192.168.0.11 등으로 가정).

ASA에서 구성을 변경할 필요는 없지만 내부 DNS 서버에서 외부 도메인을 복제해야합니다 (Active Directory에는 기본 제공). 당신은 당신이 지금 가지고있는 것과 같은 내부 레코드를 가지고있는 것과 동일한 레코드를 지금 가지고 있습니다.

"솔루션" 3 : 공용 IP와 DMZ 인터페이스

ISP에서 ASA로 라우팅 된 IP 주소의 서브넷을 가져와야하므로 이에 대한 자세한 내용은 다루지 않겠습니다. 요즘에는 IPv4 기아로 어려움을 겪고 있습니다.


좋은 답변입니다. +1
Carlos Garcia

좋은 답변을 주셔서 감사합니다, 우리는 내부 DNS 시스템으로 갈 것이라고 생각합니다. 그리고 asa에서 업그레이드 구매 고려
Fore

1
DNS 검사 맵이 있으면 # 1이 잘 작동한다는 것을 깨달았습니다 . 검사 맵이없는 ASA 방화벽에서 실패했습니다 ( fixup protocol dns작동합니다). 더 깊이 조사해 주셔서 감사합니다.
ewwhite

3

다른 유사한 질문이 여기에 대한 참조로 중복으로 표시되므로 @pauska의 탁월한 답변을 4 번째 옵션으로 보완하고 싶습니다.

해결 방법 4 : NAT Hairpinning을 통한 트래픽 라우팅

nat : ed 클라이언트가 공개 IP를 통해 nat : ed 서버에 액세스 할 때와 같이 Cisco PIX / ASA 어플라이언스의 인터페이스를 통해 트래픽을 다시 허용하는 것을 Cisco의 NAT Hairpinning이라고합니다.

기본적으로 nat 및 포트 전달과 동일한 구성 매개 변수를 사용하지만 다음 명령을 추가합니다.

same-security-traffic permit intra-interface

서버로의 내부 트래픽을위한 두 번째 정적 매핑

static(inside,inside) i.i.i.i x.x.x.x

여기에는 두 개의 인터페이스 디자인에 대한 구성 예가 자세히 설명되어 있습니다. http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

다음은 3 가지 인터페이스 디자인을위한 대상 NAT 대안입니다. http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2


1

내부에서 Pix / ASA의 외부 인터페이스에 액세스 할 수 없습니다. 서버의 외부 주소에 대한 DNS 요청을 내부 주소로 리디렉션해야합니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.