asa 5510：nat 和静态策略，不同的接口

Question 1

无论你是否将内部主机通过 NAT 连接到安全性较低的接口，你仍然需要允许访问从安全性较低的接口转移到内部接口。

考虑到 PIXOS 的工作方式，如果你有不ACL，默认情况下允许从较安全的接口到较不安全的接口的所有访问。这确实不是适用于来自较少的任何安全接口更多的但是，接口是安全的。

除此之外，在单独的接口上分配相同的 NAT-ed IP 没有任何问题（拆分水平或其他）；假设这些不同接口上的流量永远不会相互暴露（如果不是，则您正在桥接防火墙...）

在 DMZ 示例中，您需要一个 ACL 来允许访问从非军事区到NAT 后的 IMAP 服务器的 IP：

#access-list DMZ_access_in extended permit tcp any host <NAT-ed IP of IMAP server> eq 143

笔记访问列表始终需要与 NAT 地址相匹配，因为它们被应用前NAT。

Answer

无论你是否将内部主机通过 NAT 连接到安全性较低的接口，你仍然需要允许访问从安全性较低的接口转移到内部接口。

考虑到 PIXOS 的工作方式，如果你有不ACL，默认情况下允许从较安全的接口到较不安全的接口的所有访问。这确实不是适用于来自较少的任何安全接口更多的但是，接口是安全的。

除此之外，在单独的接口上分配相同的 NAT-ed IP 没有任何问题（拆分水平或其他）；假设这些不同接口上的流量永远不会相互暴露（如果不是，则您正在桥接防火墙...）

在 DMZ 示例中，您需要一个 ACL 来允许访问从非军事区到NAT 后的 IMAP 服务器的 IP：

#access-list DMZ_access_in extended permit tcp any host <NAT-ed IP of IMAP server> eq 143

笔记访问列表始终需要与 NAT 地址相匹配，因为它们被应用前NAT。

Question 2

Paulos 和 Adaptr，感谢你们的评论。我已经解决了这个问题，但方法不同寻常。但还有一些信息我没有告诉你们。首先：我将 dmz 网络的安全级别从 30 改为 0。其次：我设置了第二条到外部路由器的显式路由，尽管那里有一个默认路由！但我仔细检查了一下：没有这条路由就没有连接，但有了这条路由，连接就起作用了。我有点震惊，但它起作用了：S 0.0.0.0 0.0.0.0 通过 10.10.10.1，外部 AND S 10.10.20.1 255.255.255.255 通过 10.10.10.1，外部。其中 10.10.20.1 是 imap 服务器。

再次感谢您解决这个问题。

Answer

Paulos 和 Adaptr，感谢你们的评论。我已经解决了这个问题，但方法不同寻常。但还有一些信息我没有告诉你们。首先：我将 dmz 网络的安全级别从 30 改为 0。其次：我设置了第二条到外部路由器的显式路由，尽管那里有一个默认路由！但我仔细检查了一下：没有这条路由就没有连接，但有了这条路由，连接就起作用了。我有点震惊，但它起作用了：S 0.0.0.0 0.0.0.0 通过 10.10.10.1，外部 AND S 10.10.20.1 255.255.255.255 通过 10.10.10.1，外部。其中 10.10.20.1 是 imap 服务器。

再次感谢您解决这个问题。

asa 5510：nat 和静态策略，不同的接口

答案1

答案2

相关内容