asa 5510:nat 和静态策略,不同的接口

asa 5510:nat 和静态策略,不同的接口

我们有一台 ASA 5510,它有四个网络:内部、外部、dmz、WLAN。所有内部地址都具有到外部的 nat 以及到 dmz 和 WLAN 的 nat。我们的 imap 服务器有一个从内部到外部的静态策略。

可以从外部访问此服务器。好的。我们无法从 WLAN 访问此服务器。从 dmz 也访问不了。这是我们的问题。

我尝试通过从内部到 WLAN 建立第二个静态策略来解决这个问题,这种方法有效,但存在 DNS 问题。这必须有另一个名称,因为 IP 与全局外部的 IP 不同。我不想使用水平分割或其他技术。

这为什么不可能呢?

我想我错过了一个指令或者误解了这里的某些内容。

你能给我点灯吗?我很感激每一个回答。

答案1

无论你是否将内部主机通过 NAT 连接到安全性较低的接口,你仍然需要允许访问从安全性较低的接口转移到内部接口。

考虑到 PIXOS 的工作方式,如果你有ACL,默认情况下允许从较安全的接口到较不安全的接口的所有访问。这确实不是适用于来自较少的任何安全接口更多的但是,接口是安全的。

除此之外,在单独的接口上分配相同的 NAT-ed IP 没有任何问题(拆分水平或其他);假设这些不同接口上的流量永远不会相互暴露(如果不是,则您正在桥接防火墙...)

在 DMZ 示例中,您需要一个 ACL 来允许访问非军事区NAT 后的 IMAP 服务器的 IP:

#access-list DMZ_access_in extended permit tcp any host <NAT-ed IP of IMAP server> eq 143

笔记访问列表始终需要与 NAT 地址相匹配,因为它们被应用NAT。

答案2

Paulos 和 Adaptr,感谢你们的评论。我已经解决了这个问题,但方法不同寻常。但还有一些信息我没有告诉你们。首先:我将 dmz 网络的安全级别从 30 改为 0。其次:我设置了第二条到外部路由器的显式路由,尽管那里有一个默认路由!但我仔细检查了一下:没有这条路由就没有连接,但有了这条路由,连接就起作用了。我有点震惊,但它起作用了:S 0.0.0.0 0.0.0.0 通过 10.10.10.1,外部 AND S 10.10.20.1 255.255.255.255 通过 10.10.10.1,外部。其中 10.10.20.1 是 imap 服务器。

再次感谢您解决这个问题。

相关内容