Firewall

使用 nat 規則將 80/443 流量轉換到 Web 伺服器,但內部使用者無法使用外部 ip/域名訪問它

  • October 14, 2014

我正在為 ASA 使用 Cisco ASDM

我有一個名為 soa 的內部網路。我的外部介面被稱為外部。假設我的 ISP isp 給我的外部 IP 是 yyyy 我的網路中有一個 Web 伺服器,其靜態 IP 為 xxx110。我已經配置了 2 個靜態 nat 規則(一個用於 http,另一個用於 https)。

來源是 xxx110。介面在外部,服務(http 或 https)。

也許我做錯了,但是當我執行數據包跟踪器時,我選擇外部介面,源 IP 我使用 8.8.8.8,目標 ip 是我的外部 IP 地址,yyyy

當我執行它時,它顯示數據包遍歷成功,使用了 9 個步驟。

對於我的另一個測試,我切換到 soa 介面,在該網路上輸入一個 ip,並保持目的地不變。該測試有 2 個步驟,然後在我的訪問列表中失敗。

當我看到失敗的規則時,我的全部擷取是源:任何目標:任何,服務:IP 操作:拒絕。

我需要製定什麼規則才能允許我的 soa 網路訪問通過我的外部 IP 地址退出和返回(當然,使用附加到我的 dns 中該 ip 的域名)?

不確定 Cisco,但在 Linux 和 *BSD 上這行不通。即使您嘗試從內部網路連接到外部地址,數據包也不會通過外部介面,因為核心太聰明了,會注意到自己的地址並消耗數據包。由於數據包永遠不會通過您的外部介面,因此埠轉發的 NAT 規則永遠不會適用。

閱讀http://www.openbsd.org/faq/pf/rdr.html#reflect了解一些(BSD 偏向)文件。

來自內部 LAN 的外部 NAT 查找不適用於 BSD 或 LINUX。然而,有一種方法可以欺騙 Cisco ASA,儘管最佳實踐表明絕不能這樣做。如果您絕對需要它,請使用它。Cisco ASA 8.0.x 的命令語法是:

static (dmz,outside) <YOUR-PUBLIC-IP-ADDR> <YOUR-DECLARED-HOST-NAME> netmask 255.255.255.255

static (dmz,inside) <YOUR-PUBLIC-IP-ADDR> <YOUR-DECLARED-HOST-NAME> netmask 255.255.255.255

引用自:https://serverfault.com/questions/443397