Cisco-Asa
ASA5505 :: 訪問列表允許埠列表上的公共 ip(不是范圍)
這可能是一個常見問題,但找不到解決方案。
問題來了:在 Web 伺服器環境中,有一組公共埠需要打開,僅舉幾例:21、25、53、80、110、143、3306 等。
我知道如何創建訪問列表以允許給定埠上的外部 ip 和靜態規則將埠流量定向到目標內部 ip。但是,伙計,當您有 15 個公共 IP 所有這些都需要打開完全相同的 20 多個埠時,執行單 ip + 單埠規則是很多苦差事。
有沒有辦法讓每個公共 ip 指定一個埠訪問列表和相應的靜態規則?基本上我想用 30 行(15 個公共 ips X(1 個訪問列表 + 1 個靜態))與 600 行來完成這個!
非常感謝的想法(在這種情況下,顯然);-)
對象組在這裡是您的朋友。假設您的公共地址塊不連續並且沒有直接子網映射到您的私有子網,並且您的外部訪問列表具有預設名稱outside_access_in的最壞情況,您將需要按照以下行進行配置。 .
object-group network my-servers_pub network-object host 1.1.1.1 network-object host 1.1.1.3 network-object host 1.1.1.5 ...etc ...etc network-object host 1.1.1.13 network-object host 1.1.1.15 object-group service my-tcp-ports tcp port-object eq 21 port-object eq 25 port-object eq 80 port-object eq 110 port-object eq 143 port-object eq 3306 object-group service my-udp-ports udp port-object eq 53 static (inside,outside) 1.1.1.1 192.168.1.2 static (inside,outside) 1.1.1.3 192.168.1.4 static (inside,outside) 1.1.1.5 192.168.1.7 ...etc ...etc static (inside,outside) 1.1.1.13 192.168.1.14 static (inside,outside) 1.1.1.15 192.168.1.16 access-list outside_access_in permit tcp any object-group my-servers_pub object-group my-tcp-ports access-list outside_access_in permit udp any object-group my-servers_pub object-group my-udp-ports
我需要提醒的是,由於思科對 natting 進行了一些重大更改,因此此配置需要進行一些調整才能在 ASA 8.3 及更高版本上執行。
如果您有幸擁有連續的公共地址空間和 1:1 主機映射,您可以將對象組和靜態數據壓縮到子網中:
object-group network my-servers_pub network-object 1.1.1.0 255.255.255.240 static (inside,outside) 1.1.1.0 192.168.1.0 netmask 255.255.255.240
在這種情況下,您甚至不需要外部主機的對象組,但我這樣做只是為了保持一致。