我正在尝试在防火墙 (ASA 5505,v8.2) 上打开一个漏洞,以允许外部访问 Web 应用程序。通过 ASDM (6.3?),我已将服务器添加为公共服务器,这将创建一个静态 NAT 条目 [我在 Cisco 论坛上确认不会让所有人的访问崩溃后,使用分配给 LAN 的“动态 NAT-传出”的公共 IP] 和传入规则“any...public_ip...https...allow”,但流量仍然无法通过。当我查看日志查看器时,它显示它被 access-group outside_access_in 拒绝,隐式规则是“any any ipden”
我对 Cisco 管理没有太多经验。我看不出我缺少什么来允许此连接通过,我想知道是否还有其他特殊的东西需要添加。我尝试在该访问组中添加一条规则(几种变体)以允许 https 访问服务器,但没有任何效果。也许我还没有找到正确的组合?:P
我还确保 Windows 防火墙在端口 443 上打开,尽管根据日志,我很确定当前的问题是思科。:)
有什么想法吗?如果您需要更多信息,请告诉我。
谢谢
编辑:首先,我搞错了。(抱歉)访问组“inside_access_out”阻止了流量,这首先让我感到困惑。我想我在输入问题的过程中又把自己搞糊涂了。
我相信这是相关信息。请让我知道您发现哪里有误。
access-list acl_in extended permit tcp any host PUBLIC_IP eq https
access-list acl_in extended permit icmp CS_WAN_IPs 255.255.255.240 any
access-list acl_in remark Allow Vendor connections to LAN
access-list acl_in extended permit tcp host Vendor any object-group RemoteDesktop
access-list acl_in remark NetworkScanner scan-to-email incoming (from smtp.mail.microsoftonline.com to PCs)
access-list acl_in extended permit object-group TCPUDP any object-group Scan-to-email host NetworkScanner object-group Scan-to-email
access-list acl_out extended permit icmp any any
access-list acl_out extended permit tcp any any
access-list acl_out extended permit udp any any
access-list SSLVPNSplitTunnel standard permit LAN_Subnet 255.255.255.0
access-list nonat extended permit ip VPN_Subnet 255.255.255.0 LAN_Subnet 255.255.255.0
access-list nonat extended permit ip LAN_Subnet 255.255.255.0 VPN_Subnet 255.255.255.0
access-list inside_access_out remark NetworkScanner Scan-to-email outgoing (from scanner to Internet)
access-list inside_access_out extended permit object-group TCPUDP host NetworkScanner object-group Scan-to-email any object-group Scan-to-email
access-list inside_access_out extended permit tcp any interface outside eq https
static (inside,outside) PUBLIC_IP LOCAL_IP[server object] netmask 255.255.255.255
access-group inside_access_out out interface inside
access-group acl_in in interface outside
access-group acl_out out interface outside
我不确定是否需要反转该“静态”条目,因为我把问题搞混了……而且对于最后一个访问列表条目,我尝试了内部和外部接口 - 都没有成功……而且我不确定它是否应该是 www,因为该网站是在 https 上运行的。我假设它应该只使用 https。
答案1
呃,可能是 CISCO 的问题。老实说,ASDM 对我来说有点令人困惑,所以我将向您传递命令行指令:
ssh pix@INTERNAL_IP
[type cisco password]
enable
[retype password]
show conf <- retrieve the config plain text
现在你应该有这样的线条
access-group outside_access_in in interface outside
access-list outside_access_in extended permit tcp any interface outside eq www
访问列表名称可能不同,但没关系。此外,在我的情况下,外部接口是互联网连接的 VLan2 的别名。这允许接受 www 连接的流量。
现在对于端口转发,你需要如下一行:
static (inside,outside) tcp interface www LOCAL_IP www netmask 255.255.255.255
再次强调,里面是我的本地接口的名称,它充当网络的网关。如果您没有这样的行,只需用 来添加它们configure terminal。添加魔法行,应该可以工作。如果您在控制台中需要任何帮助,只需使用魔法?:)