为 Cisco ASA 5510 上的端口 443/80 创建 NAT 规则和安全策略

为 Cisco ASA 5510 上的端口 443/80 创建 NAT 规则和安全策略

我一直在尝试设置 NAT 并允许我的本地网络访问公共 IP 地址,但就是无法正常工作。这是我第一次使用 Cisco 防火墙。

感谢您的帮助!

答案1

由于这是你第一次使用防火墙,我提到了额外的配置,这将有助于你学习/调试 ASA 配置

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

您可以添加日志记录以帮助您使用

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

系统日志服务器应在 UDP 端口 514 上侦听来自防火墙的系统日志消息。在部署到生产环境之前,这些有助于在试验防火墙时调试问题。

这是极其不安全的防火墙配置,因为启用了 telnet,而且是来自所有内部 IP。此外,所有内容都被允许。这个想法是为了帮助您测试 NAT 配置,而不必担心 ACL。

现在将 ASA 外部接口的 80 端口连接转发到某些服务器使用

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

443 类似使用

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

一旦您熟悉了 NAT,就可以拥有内部、外部和 DMZ,并配置限制性 ACL 以仅允许相关流量。

您还可以在 ASA 中配置其他类型的 NAT / PAT。

答案2

使用 Web 界面 (ASDM):

1.添加静态 NAT 规则。 转到配置 -> NAT。单击添加,然后单击“添加静态 NAT 规则”。在真实地址下输入您的内部 IP 信息,在静态转换下输入您的外部 IP 信息。勾选“启用 PAT”并输入 80(或 443)。

2. 修改安全策略以允许流量。 进入配置 -> 安全策略。单击添加并创建一条规则,允许从外部接口(任意源)到内部 IP 地址(指定端口)的传入流量。

答案3

看起来这个问题已经有一段时间没有得到回复了,但我会尽力解释一下我们的 5510 上有什么。

首先,我听说如果你只有一个外部/公共 IP 地址,就会出现问题。你必须做一些额外的配置,但我不确定那是什么。我假设你至少有两个,其中一个是防火墙的外部 IP。我们将在下面使用一个可用的 IP。

在 ASDM 中,转到配置 -> 防火墙 -> NAT 规则

单击添加 -> 添加静态 NAT 规则

  • 原装 -> 接口:内部
  • 原始 -> 来源:[内部 IP 地址]
  • 翻译 -> 接口:外部
  • 翻译 -> 使用 IP 地址:[未使用的公共 IP 地址]
  • 端口地址转换 -> 启用端口地址转换
  • 端口地址转换 -> 协议:TCP
  • 端口地址转换 -> 原始端口:http
  • 端口地址转换 -> 转换后的端口:http

单击确定。一旦您确定 http/80 正常运行,您就可以为 https/443 添加另一条规则。

接下来是我第一次拿到 5510 时感到困惑的部分,所以请确保您知道把什么东西放在哪里。

转至访问规则(ASDM -> 配置 -> 防火墙 -> 访问规则)

添加 -> 添加访问规则

  • 接口: 外部(不在里面)
  • 行动:许可
  • 来源:any
  • 目的地:[与上述相同的公网 IP 地址](不是内部 IP)
  • 服务:tcp/http、tcp/https

单击“确定”

就是这样。我相信这个想法是,您允许安全访问外部/公共 IP,然后如果安全规则允许,NAT 会进行转换。

相关内容