Domain-Name-System

如何通過外部 IP 訪問我的內部伺服器?

  • November 13, 2013

我們正在嘗試配置我們的 Cisco 5505,它已通過 ASDM 完成。

有一個大問題是我們無法解決的,那就是當你從裡到外再回來的時候。

例如,我們有一個“內部”伺服器,如果我們在內部或外部,我們希望能夠使用相同的地址訪問該伺服器。

問題是添加一個規則,允許從內部到外部的流量,然後再返回。

ASA 防火牆無法路由流量。您需要根據外部地址屏蔽內部地址。

解決方案 1:使用靜態 NAT 進行 DNS 修正

假設您的外部網站 IP 地址是 1.2.3.4,然後又被埠轉發(或直接 NAT’ed)到內部 IP 地址 192.168.0.10。使用 DNS 篡改,將發生以下情況:

  1. 內部客戶端請求http://www.companyweb.com,最初轉換為 1.2.3.4
  2. ASA 攔截 DNS 回複數據包,並將 A-record 替換為 192.168.0.10
  3. 客戶非常高興,因為它現在可以打開公司網站 :-)

有關如何啟用此功能的更多詳細資訊:http ://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

解決方案 2:內部 DNS 伺服器

如果您只有一個外部 IP,並且您將此 IP 埠轉發到不同伺服器上的許多內部服務(假設埠 80 和 443 轉到 192.168.0.10,埠 25 轉到 192.168.0.11 等),這一點很有用。

它不需要 ASA 上的配置更改,但需要您在內部 DNS 伺服器上複製您的外部域(Active Directory 已內置此功能)。您只需創建與現在完全相同的記錄,僅在您內部擁有的服務上使用內部 IP。

“解決方案” 3:與公共 IP 的 DMZ 介面

我不會對此進行詳細介紹,因為它需要您從您的 ISP 獲取一個 IP 地址子網,並路由到您的 ASA。這些天來,IPv4 匱乏非常困難。

引用自:https://serverfault.com/questions/282959