我刚买了一台 ASA 5505,我的数据中心正在为我安装。他们告诉我,将 ASA 设置为使用 NAT 路由会破坏内部网络上的 Web/DNS 服务器。
例如:WAN IP 地址 66.xxx.47.x - 在内部网络上转换为 LAN IP 地址 192.168.0.1 - 将不会向内部 Web/DNS 服务器提供 WAN IP,这显然会破坏 DNS - 当然 DC 不提供其他详细信息。
大多数人是否都在透明模式下的 ASA 后面提供 Web 服务?看起来瞬态模式有一些缺点,其中之一就是无法终止 VPN 流量。
似乎路由/NAT是最安全/最通用的,但也许我没有看到瞬态模式的好处,从表面上看,这似乎是一种快速而肮脏的启动和运行方式,希望不止于此。
感谢您的反馈,我必须尽快就此事做出决定。
答案1
典型的静态条目如下所示:
static (inside,outside) 66.1.47.1 192.168.0.2 netmask 255.255.255.255
如果他们通过 ASDM 进行编程,它通常会加入 dns 部分。这会改变来自外部的 DNS 回复。这不是您想要的:
static (inside,outside) 66.1.47.1 192.168.0.2 netmask 255.255.255.255 dns
删除那个 DNS 声明,你就没问题了
透明模式很不错,但它会从 ASA 中删除大量功能。除非有其他理由,否则请使用路由模式。
答案2
ASA 静态条目允许您使用“dns”操纵器,它将动态重写 DNS 响应。如果他们说这是不可能的,那么他们不知道他们在用 ASA 做什么。
答案3
这取决于您的 DNS 设置类型。
我们的 DNS 服务器和 Web 服务器位于使用 NAT 的 ASA 5510 后面。
在 DNS 服务器 (BIND) 上,我们根据请求来自哪个 IP 地址提供不同的信息。这是水平分割 DNS。
如果请求来自内部,我们将使用内部 IP 回复。
如果请求来自外部,我们将使用外部 IP 回复。
例如,如果请求来自普通的外部主机,我们将使用 Web 服务器的 66.xxx.47.x IP 进行回复。但是,如果内部主机请求 IP,我们将使用 Web 服务器的 192.168.0.x IP 进行回复。
基本上,只要您正确配置 DNS 服务器,就完全有可能将您的 DNS 和 Web 服务器置于使用 NAT 的 ASA 后面。