Domain-Name-System
如何通過外部 IP 訪問我的內部伺服器?
我們正在嘗試配置我們的 Cisco 5505,它已通過 ASDM 完成。
有一個大問題是我們無法解決的,那就是當你從裡到外再回來的時候。
例如,我們有一個“內部”伺服器,如果我們在內部或外部,我們希望能夠使用相同的地址訪問該伺服器。
問題是添加一個規則,允許從內部到外部的流量,然後再返回。
ASA 防火牆無法路由流量。您需要根據外部地址屏蔽內部地址。
解決方案 1:使用靜態 NAT 進行 DNS 修正
假設您的外部網站 IP 地址是 1.2.3.4,然後又被埠轉發(或直接 NAT’ed)到內部 IP 地址 192.168.0.10。使用 DNS 篡改,將發生以下情況:
- 內部客戶端請求http://www.companyweb.com,最初轉換為 1.2.3.4
- ASA 攔截 DNS 回複數據包,並將 A-record 替換為 192.168.0.10
- 客戶非常高興,因為它現在可以打開公司網站 :-)
有關如何啟用此功能的更多詳細資訊:http ://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml
解決方案 2:內部 DNS 伺服器
如果您只有一個外部 IP,並且您將此 IP 埠轉發到不同伺服器上的許多內部服務(假設埠 80 和 443 轉到 192.168.0.10,埠 25 轉到 192.168.0.11 等),這一點很有用。
它不需要 ASA 上的配置更改,但需要您在內部 DNS 伺服器上複製您的外部域(Active Directory 已內置此功能)。您只需創建與現在完全相同的記錄,僅在您內部擁有的服務上使用內部 IP。
“解決方案” 3:與公共 IP 的 DMZ 介面
我不會對此進行詳細介紹,因為它需要您從您的 ISP 獲取一個 IP 地址子網,並路由到您的 ASA。這些天來,IPv4 匱乏非常困難。