Firewall

需要幫助使網站對外可用

  • July 10, 2012

我試圖在防火牆(ASA 5505,v8.2)上打開一個洞,以允許外部訪問 Web 應用程序。通過 ASDM(6.3?),我將伺服器添加為公共伺服器,它創建了一個靜態 NAT 條目

$$ I’m using the public IP that is assigned to ‘dynamic NAT–outgoing’ for the LAN, after confirming on the Cisco forums that it wouldn’t bring everyone’s access crashing down $$和傳入規則“任何… public_ip … https …允許”,但流量仍然沒有通過。當我查看日誌查看器時,它說它被訪問組 outside_access_in 拒絕,隱式規則是“任何任何 ip 拒絕” 我在思科管理方面沒有太多經驗。我看不出我缺少什麼來允許這種連接通過,我想知道是否還有什麼特別需要添加的。我嘗試在該訪問組中添加一個規則(幾個變體)以允許 https 訪問伺服器,但它從來沒有產生任何影響。也許我還沒有找到合適的組合?:P

我還確保 Windows 防火牆在埠 443 上打開,儘管我很確定目前的問題是 Cisco,因為日誌。:)

有任何想法嗎?如果您需要更多資訊,請告訴我。

謝謝

編輯:首先,我有這個倒退。(抱歉)訪問組“inside_access_out”阻止了流量,這首先讓我感到困惑。我想我在輸入問題的過程中又把自己弄糊塗了。

我相信,這是相關的資訊。請讓我知道你看到了什麼錯誤。

access-list acl_in extended permit tcp any host PUBLIC_IP eq https  
access-list acl_in extended permit icmp CS_WAN_IPs 255.255.255.240 any  
access-list acl_in remark Allow Vendor connections to LAN  
access-list acl_in extended permit tcp host Vendor any object-group RemoteDesktop  
access-list acl_in remark NetworkScanner scan-to-email incoming (from smtp.mail.microsoftonline.com to PCs)  
access-list acl_in extended permit object-group TCPUDP any object-group Scan-to-email host NetworkScanner object-group Scan-to-email  
access-list acl_out extended permit icmp any any  
access-list acl_out extended permit tcp any any  
access-list acl_out extended permit udp any any  
access-list SSLVPNSplitTunnel standard permit LAN_Subnet 255.255.255.0  
access-list nonat extended permit ip VPN_Subnet 255.255.255.0 LAN_Subnet 255.255.255.0  
access-list nonat extended permit ip LAN_Subnet 255.255.255.0 VPN_Subnet 255.255.255.0  
access-list inside_access_out remark NetworkScanner Scan-to-email outgoing (from scanner to Internet)  
access-list inside_access_out extended permit object-group TCPUDP host NetworkScanner object-group Scan-to-email any object-group Scan-to-email  
access-list inside_access_out extended permit tcp any interface outside eq https

static (inside,outside) PUBLIC_IP LOCAL_IP[server object] netmask 255.255.255.255

access-group inside_access_out out interface inside  
access-group acl_in in interface outside
access-group acl_out out interface outside

我不確定我是否需要反轉那個“靜態”條目,因為我把我的問題弄混了……還有最後一個訪問列表條目,我嘗試了內部和外部的界面 - 都沒有證明是成功的……並且我不確定它是否應該是 www,因為該站點在 https 上執行。我認為它應該只是https。

嗯,可能是 CISCO 的錯。老實說,對我來說 ASDM 有點令人困惑,所以我將向您傳遞命令行指令:

ssh pix@INTERNAL_IP
[type cisco password]
enable
[retype password]
show conf <- retrieve the config plain text

現在你應該有這樣的線條

access-group outside_access_in in interface outside
access-list outside_access_in extended permit tcp any interface outside eq www

也許訪問列表名稱不同,但沒關係。在我的情況下,外部介面也是連接網際網路的 VLan2 的別名。這允許接受 www 連接的流量。

現在對於埠轉發,您需要這樣的一行:

static (inside,outside) tcp interface www LOCAL_IP www netmask 255.255.255.255

再次在裡面它是我的本地介面的名稱,它充當網路的網關。如果您沒有這樣的行,只需將它們添加到configure terminal. 添加魔術線,應該可以工作。如果您在控制台中需要任何幫助,只需使用魔法?:)

引用自:https://serverfault.com/questions/405373