我们正在尝试配置Cisco 5505,它已通过ASDM完成.
我们无法解决一个大问题,那就是当你从内到外再回来时.
例如,我们有一个“内部”服务器,如果我们在内部或者如果我们在外面,我们希望能够使用相同的地址到达此服务器.
问题是添加一条规则,允许从内部到外部的流量再返回.
解决方法
ASA防火墙无法路由流量.您需要根据外部地址对内部地址进行masq.
解决方案1:使用静态NAT进行DNS篡改
假设您的外部网站IP地址是1.2.3.4,然后再次端口转发(或直接NAT)到内部IP地址192.168.0.10.通过DNS篡改,将发生以下情况:
>内部的客户请求http://www.companyweb.com,最初转换为1.2.3.4
> ASA拦截DNS回复数据包,并将A记录替换为192.168.0.10
>客户非常高兴,因为它现在可以打开公司网站:-)
有关如何启用此功能的更多详细信息:http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml
解决方案2:内部DNS服务器
如果您只有一个外部IP,并且将此IP端口转发到不同服务器上的许多内部服务(假设端口80和443转到192.168.0.10,端口25转到192.168.0.11等),则此选项非常有用.
它不需要在ASA上进行配置更改,但它需要您在内部DNS服务器上复制外部域(Active Directory内置了此域).您只需创建与现在完全相同的记录,仅使用内部服务的内部IP.
“解决方案”3:与公共IP的DMZ接口
我不打算详细介绍这个,因为它要求您从ISP路由到ASA的IP地址子网.这些天,IPv4饥饿非常困难.