我的家庭办公室里有一台 CISCO ASA 5505。它有两个子网,公共子网和私有子网。私有网络上有一个 wifi belkin 路由器,它为一些用户提供 wifi。那个 belkin 路由器向预先编程的 ip 地址发送心跳通知,但数据包被 ASA 丢弃。我不想让数据包通过。我宁愿 Belkin 无法像那样打电话回家,但这个 belkin 无法禁用心跳检查。
因此,我想知道我是否可以让 ASA 回复 belkin hello?
或者您可以告诉我如何使用 ASA 进行转发设置,通过将电话回家 IP 地址映射到本地网络,将心跳检查重定向到 LAN 上的主机?
这是来自 ASA 中的 Belkin 的防火墙丢弃消息。
3 datetime 50.16.219.4 192.168.3.5 Deny inbound icmp src outside:50.16.219.4 dst inside:192.168.3.5 (type 0, code 0)
我对 CISCO ASDM 界面很熟悉,但我也在命令行上管理一些配置。
另一个内部 DNS 服务器 (像这种治疗方法) 目前实际上不是一个选择。
感谢您的任何建议。
答案1
答案可能是肯定的。它基本上是一个发夹式 NAT,Cisco 页面对此进行了证实DNS 篡改。
我尝试在另一个办公室的另一个防火墙上进行此操作。以下是一些配置,似乎可以按照我的要求重定向流量。我在 ASDM 中进行了这些配置,但我只是在摸索。我希望专家能帮助我找到缺陷或更好的想法。
我添加了额外的评论来解释:
Result of the command: "show running-config"
...
!-- this server is monitoring the network anyway, so it is on 24/7
name 192.168.1.66 local-heartbeat.com description attempted destination for spoofed pings
!-- This is the destination that was blocked.
name 50.16.219.4 belkin.heartbeat.com description domain to redirect ping traffic
...
interface Vlan2 nameif outside security-level 0
ip address 192.168.154.100 255.255.255.0 !-- Front IP of the firewall I working on.
...
dns server-group DefaultDNS
name-server 192.168.250.254 !-- This is the dns in the greater office complex
domain-name theoraffice.local
!-- I read the next one required to allow interfaces to connect in Hairpin NAT.
!-- I don't know if this is a true hairpin, because the external belkin server
!-- is actually external.
same-security-traffic permit intra-interface
!-- Rule to allow pings to belkin
...
access-list outside_access_in extended permit icmp any host belkin.heartbeat.com
...
!-- I am behind a firewall at 1.100
icmp permit 192.168.1.100 255.255.255.252 outside
...
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
...
!-- This rule is the one that redirects the ping, when I ping with domain name.
static (outside,inside) local-heartbeat.com belkin.heartbeat.com netmask 255.255.255.255 dns
...
当我 ping 到 belkin.com 时,它正常工作。例如:
[[email protected]]$ ping heartbeat.belkin.com
Pinging heartbeat.belkin.com [192.168.1.66] with 32 bytes of data:
Reply from 192.168.1.66: bytes=32 time=2ms TTL=63
Reply from 192.168.1.66: bytes=32 time=19ms TTL=63
Reply from 192.168.1.66: bytes=32 time=20ms TTL=63
Reply from 192.168.1.66: bytes=32 time=11ms TTL=63
Ping statistics for 192.168.1.66:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 20ms, Average = 13ms
在该测试中,ping 从本地服务器返回。
以下是配置截图。
设置允许发夹式 NAT。
允许尝试对外部心跳服务器进行 ping 操作。
发夹式 NAT 规则将尝试重定向到本地主机。
为了测试它,我删除了唯一的发夹 NAT 规则,然后在 Windows 笔记本电脑上执行 ipconfig /flushdns 并尝试 ping belkin.com。
[[email protected]]$ ping heartbeat.belkin.com
Pinging heartbeat.belkin.com [50.16.219.4] with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 50.16.219.4:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
现在我还有两个问题。
首先,移除发夹环后,ping 前往 Belkin,但被阻止了。这很好,但让我很惊讶。为什么它被阻止了,尽管我之前制定了允许的规则,并且此时没有更改该访问规则?
第二,这个问题为什么被降级了?