我的实验室带有 asa 防火墙的网络拓扑如下
10.10.10.20 --> ASA ---> 192.168.1.10 --> 外部网站
我想要一个 IP 地址为 10.10.10.20 的客户端访问外部网站,所以我设置了 nat
nat (inside,outside) static 192.168.1.10
和访问列表
access-list outside-acl extended permit tcp any host 10.10.10.20 eq www
access-list outside-acl extended permit tcp any host 10.10.10.20 eq domain
access-list inside-acl extended permit tcp 10.10.10.0 255.255.255.0 any eq www
access-list inside-acl extended permit tcp 10.10.10.0 255.255.255.0 any eq domain
access-group outside-acl in interface outside
access-group inside-acl in interface inside
当我使用域名访问网站时,它无法访问,但我使用 IP 地址访问网站时,它可以访问 - 我该如何解决这个问题?
答案1
根据您提供的指南,您不需要 outside-acl 规则集。只需在内部使用这些规则集即可。
我假设您的 DNS 位于 192.168.1.0/24 端。请注意,如果没有更多信息,很难锁定 DNS 规则集,因此我将它们作为 53/udp 开放给所有地址。DNS 解析器会反复查询不同的权威主机,直到找到正确的 DNS 服务器,因此暂时保持 DNS 开放。
access-list inside-acl extended permit tcp 10.10.10.0 255.255.255.0 any eq www
! I am assuming your DNS is somewhere on the 10.10.10.x side
access-list inside-acl extended permit tcp 10.10.10.0 255.255.255.0 any eq domain
access-list inside-acl extended permit udp 10.10.10.0 255.255.255.0 any eq domain
access-group inside-acl in interface inside
就您的 nat 语句而言,您包含的语法不正确,但我假设您做了类似这样的事情
static (inside,outside) 192.168.1.10 10.10.10.0 netmask 255.255.255.0