需要幫助使網站對外可用

我試圖在防火牆（ASA 5505，v8.2）上打開一個洞，以允許外部訪問 Web 應用程序。通過 ASDM（6.3？），我將伺服器添加為公共伺服器，它創建了一個靜態 NAT 條目

$$ I’m using the public IP that is assigned to ‘dynamic NAT–outgoing’ for the LAN, after confirming on the Cisco forums that it wouldn’t bring everyone’s access crashing down $$和傳入規則“任何… public_ip … https …允許”，但流量仍然沒有通過。當我查看日誌查看器時，它說它被訪問組 outside_access_in 拒絕，隱式規則是“任何任何 ip 拒絕” 我在思科管理方面沒有太多經驗。我看不出我缺少什麼來允許這種連接通過，我想知道是否還有什麼特別需要添加的。我嘗試在該訪問組中添加一個規則（幾個變體）以允許 https 訪問伺服器，但它從來沒有產生任何影響。也許我還沒有找到合適的組合？:P

我還確保 Windows 防火牆在埠 443 上打開，儘管我很確定目前的問題是 Cisco，因為日誌。:)

有任何想法嗎？如果您需要更多資訊，請告訴我。

謝謝

編輯：首先，我有這個倒退。（抱歉）訪問組“inside_access_out”阻止了流量，這首先讓我感到困惑。我想我在輸入問題的過程中又把自己弄糊塗了。

我相信，這是相關的資訊。請讓我知道你看到了什麼錯誤。

access-list acl_in extended permit tcp any host PUBLIC_IP eq https  
access-list acl_in extended permit icmp CS_WAN_IPs 255.255.255.240 any  
access-list acl_in remark Allow Vendor connections to LAN  
access-list acl_in extended permit tcp host Vendor any object-group RemoteDesktop  
access-list acl_in remark NetworkScanner scan-to-email incoming (from smtp.mail.microsoftonline.com to PCs)  
access-list acl_in extended permit object-group TCPUDP any object-group Scan-to-email host NetworkScanner object-group Scan-to-email  
access-list acl_out extended permit icmp any any  
access-list acl_out extended permit tcp any any  
access-list acl_out extended permit udp any any  
access-list SSLVPNSplitTunnel standard permit LAN_Subnet 255.255.255.0  
access-list nonat extended permit ip VPN_Subnet 255.255.255.0 LAN_Subnet 255.255.255.0  
access-list nonat extended permit ip LAN_Subnet 255.255.255.0 VPN_Subnet 255.255.255.0  
access-list inside_access_out remark NetworkScanner Scan-to-email outgoing (from scanner to Internet)  
access-list inside_access_out extended permit object-group TCPUDP host NetworkScanner object-group Scan-to-email any object-group Scan-to-email  
access-list inside_access_out extended permit tcp any interface outside eq https

static (inside,outside) PUBLIC_IP LOCAL_IP[server object] netmask 255.255.255.255

access-group inside_access_out out interface inside  
access-group acl_in in interface outside
access-group acl_out out interface outside

我不確定我是否需要反轉那個“靜態”條目，因為我把我的問題弄混了……還有最後一個訪問列表條目，我嘗試了內部和外部的界面 - 都沒有證明是成功的……並且我不確定它是否應該是 www，因為該站點在 https 上執行。我認為它應該只是https。

嗯，可能是 CISCO 的錯。老實說，對我來說 ASDM 有點令人困惑，所以我將向您傳遞命令行指令：

ssh pix@INTERNAL_IP
[type cisco password]
enable
[retype password]
show conf <- retrieve the config plain text

現在你應該有這樣的線條

access-group outside_access_in in interface outside
access-list outside_access_in extended permit tcp any interface outside eq www

也許訪問列表名稱不同，但沒關係。在我的情況下，外部介面也是連接網際網路的 VLan2 的別名。這允許接受 www 連接的流量。

現在對於埠轉發，您需要這樣的一行：

static (inside,outside) tcp interface www LOCAL_IP www netmask 255.255.255.255

再次在裡面它是我的本地介面的名稱，它充當網路的網關。如果您沒有這樣的行，只需將它們添加到configure terminal. 添加魔術線，應該可以工作。如果您在控制台中需要任何幫助，只需使用魔法?:)

引用自：https://serverfault.com/questions/405373