需要幫助使網站對外可用
我試圖在防火牆(ASA 5505,v8.2)上打開一個洞,以允許外部訪問 Web 應用程序。通過 ASDM(6.3?),我將伺服器添加為公共伺服器,它創建了一個靜態 NAT 條目
$$ I’m using the public IP that is assigned to ‘dynamic NAT–outgoing’ for the LAN, after confirming on the Cisco forums that it wouldn’t bring everyone’s access crashing down $$和傳入規則“任何… public_ip … https …允許”,但流量仍然沒有通過。當我查看日誌查看器時,它說它被訪問組 outside_access_in 拒絕,隱式規則是“任何任何 ip 拒絕” 我在思科管理方面沒有太多經驗。我看不出我缺少什麼來允許這種連接通過,我想知道是否還有什麼特別需要添加的。我嘗試在該訪問組中添加一個規則(幾個變體)以允許 https 訪問伺服器,但它從來沒有產生任何影響。也許我還沒有找到合適的組合?:P
我還確保 Windows 防火牆在埠 443 上打開,儘管我很確定目前的問題是 Cisco,因為日誌。:)
有任何想法嗎?如果您需要更多資訊,請告訴我。
謝謝
編輯:首先,我有這個倒退。(抱歉)訪問組“inside_access_out”阻止了流量,這首先讓我感到困惑。我想我在輸入問題的過程中又把自己弄糊塗了。
我相信,這是相關的資訊。請讓我知道你看到了什麼錯誤。
access-list acl_in extended permit tcp any host PUBLIC_IP eq https access-list acl_in extended permit icmp CS_WAN_IPs 255.255.255.240 any access-list acl_in remark Allow Vendor connections to LAN access-list acl_in extended permit tcp host Vendor any object-group RemoteDesktop access-list acl_in remark NetworkScanner scan-to-email incoming (from smtp.mail.microsoftonline.com to PCs) access-list acl_in extended permit object-group TCPUDP any object-group Scan-to-email host NetworkScanner object-group Scan-to-email access-list acl_out extended permit icmp any any access-list acl_out extended permit tcp any any access-list acl_out extended permit udp any any access-list SSLVPNSplitTunnel standard permit LAN_Subnet 255.255.255.0 access-list nonat extended permit ip VPN_Subnet 255.255.255.0 LAN_Subnet 255.255.255.0 access-list nonat extended permit ip LAN_Subnet 255.255.255.0 VPN_Subnet 255.255.255.0 access-list inside_access_out remark NetworkScanner Scan-to-email outgoing (from scanner to Internet) access-list inside_access_out extended permit object-group TCPUDP host NetworkScanner object-group Scan-to-email any object-group Scan-to-email access-list inside_access_out extended permit tcp any interface outside eq https static (inside,outside) PUBLIC_IP LOCAL_IP[server object] netmask 255.255.255.255 access-group inside_access_out out interface inside access-group acl_in in interface outside access-group acl_out out interface outside
我不確定我是否需要反轉那個“靜態”條目,因為我把我的問題弄混了……還有最後一個訪問列表條目,我嘗試了內部和外部的界面 - 都沒有證明是成功的……並且我不確定它是否應該是 www,因為該站點在 https 上執行。我認為它應該只是https。
嗯,可能是 CISCO 的錯。老實說,對我來說 ASDM 有點令人困惑,所以我將向您傳遞命令行指令:
ssh pix@INTERNAL_IP [type cisco password] enable [retype password] show conf <- retrieve the config plain text
現在你應該有這樣的線條
access-group outside_access_in in interface outside access-list outside_access_in extended permit tcp any interface outside eq www
也許訪問列表名稱不同,但沒關係。在我的情況下,外部介面也是連接網際網路的 VLan2 的別名。這允許接受 www 連接的流量。
現在對於埠轉發,您需要這樣的一行:
static (inside,outside) tcp interface www LOCAL_IP www netmask 255.255.255.255
再次在裡面它是我的本地介面的名稱,它充當網路的網關。如果您沒有這樣的行,只需將它們添加到
configure terminal
. 添加魔術線,應該可以工作。如果您在控制台中需要任何幫助,只需使用魔法?
:)