我一直在尝试设置 NAT 并允许我的本地网络访问公共 IP 地址,但就是无法正常工作。这是我第一次使用 Cisco 防火墙。
感谢您的帮助!
答案1
由于这是你第一次使用防火墙,我提到了额外的配置,这将有助于你学习/调试 ASA 配置
interface FastEthernet 0/0
nameif outside
security-level 0
ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
nameif inside
security-level 100
ip address <inside_ip_firewall> <inside netmask>
access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside
route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>
telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside
您可以添加日志记录以帮助您使用
logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>
系统日志服务器应在 UDP 端口 514 上侦听来自防火墙的系统日志消息。在部署到生产环境之前,这些有助于在试验防火墙时调试问题。
这是极其不安全的防火墙配置,因为启用了 telnet,而且是来自所有内部 IP。此外,所有内容都被允许。这个想法是为了帮助您测试 NAT 配置,而不必担心 ACL。
现在将 ASA 外部接口的 80 端口连接转发到某些服务器使用
static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100
443 类似使用
static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100
一旦您熟悉了 NAT,就可以拥有内部、外部和 DMZ,并配置限制性 ACL 以仅允许相关流量。
您还可以在 ASA 中配置其他类型的 NAT / PAT。
答案2
使用 Web 界面 (ASDM):
1.添加静态 NAT 规则。 转到配置 -> NAT。单击添加,然后单击“添加静态 NAT 规则”。在真实地址下输入您的内部 IP 信息,在静态转换下输入您的外部 IP 信息。勾选“启用 PAT”并输入 80(或 443)。
2. 修改安全策略以允许流量。 进入配置 -> 安全策略。单击添加并创建一条规则,允许从外部接口(任意源)到内部 IP 地址(指定端口)的传入流量。
答案3
看起来这个问题已经有一段时间没有得到回复了,但我会尽力解释一下我们的 5510 上有什么。
首先,我听说如果你只有一个外部/公共 IP 地址,就会出现问题。你必须做一些额外的配置,但我不确定那是什么。我假设你至少有两个,其中一个是防火墙的外部 IP。我们将在下面使用一个可用的 IP。
在 ASDM 中,转到配置 -> 防火墙 -> NAT 规则
单击添加 -> 添加静态 NAT 规则
- 原装 -> 接口:内部
- 原始 -> 来源:[内部 IP 地址]
- 翻译 -> 接口:外部
- 翻译 -> 使用 IP 地址:[未使用的公共 IP 地址]
- 端口地址转换 -> 启用端口地址转换
- 端口地址转换 -> 协议:TCP
- 端口地址转换 -> 原始端口:http
- 端口地址转换 -> 转换后的端口:http
单击确定。一旦您确定 http/80 正常运行,您就可以为 https/443 添加另一条规则。
接下来是我第一次拿到 5510 时感到困惑的部分,所以请确保您知道把什么东西放在哪里。
转至访问规则(ASDM -> 配置 -> 防火墙 -> 访问规则)
添加 -> 添加访问规则
- 接口: 外部(不在里面)
- 行动:许可
- 来源:any
- 目的地:[与上述相同的公网 IP 地址](不是内部 IP)
- 服务:tcp/http、tcp/https
单击“确定”
就是这样。我相信这个想法是,您允许安全访问外部/公共 IP,然后如果安全规则允许,NAT 会进行转换。