服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 需要帮助使外部网站可用
Intereting Posts
如何删除Windows XP中的所有“高级用户”权限 Apache和每个用户的WebDAV DocumentRoot 通过多个防火墙进行networkingWAN负载平衡 无法在Windows Server 2003 64位上从控制台(会话0)运行“Automation Anywhere”exe文件 Web服务器最低密码安全性基于每秒100次尝试 一个四核心Xeon或两个Core 2四核心机器? 开始:作业无法启动UWSGI, 通过一个堡垒机ssh工作在别人的桌面上,但不是我自己的 sendmail不工作的Ubuntu 16.04 LTS 每日/每周/每月/每年系统pipe理员任务 通过PowerShell运行bat文件不在jenkins退出 英特尔直接IO的Vt-d技术有什么好处? 适用于Linux的第2层(VMAC)networking冗余选项 在FreeNAS的Windows共享中添加文件types限制 子域转发问题

需要帮助使外部网站可用

我试图在防火墙(ASA 5505,v8.2)中打开一个漏洞,允许外部访问Web应用程序。 通过ASDM(6.3?),我添加了服务器作为一个公共服务器,它创build一个静态的NAT条目[我使用公共IP分配给'dynamicNAT – 传出'的局域网,经过确认思科论坛,它不会把每个人的访问崩溃]和一个传入的规则“任何… public_ip … https …允许”,但交通仍然没有通过。 当我查看日志查看器时,它表示拒绝访问组outside_access_in,隐式规则,即“any any ip deny”

我没有太多的思科pipe理经验。 我无法看到我错过了什么让这个连接,我想知道是否还有什么特别的,我不得不补充。 我尝试在该访问组中添加一个规则(几个变体)以允许https访问服务器,但是它从来没有改变。 也许我还没有find正确的组合? :P

我也确保Windows防火墙在端口443上是开放的,虽然我很确定目前的问题是思科,因为日志。 🙂

有任何想法吗? 如果您需要更多信息,请告诉我。

谢谢

编辑:首先,我有这个落后。 (对不起)访问组“inside_access_out”阻止了stream量,这首先使我感到困惑。 我想我在input问题的时候再次迷茫了自己。

我相信这里是相关的信息。 请让我知道你看错了什么。 

access-list acl_in extended permit tcp any host PUBLIC_IP eq https access-list acl_in extended permit icmp CS_WAN_IPs 255.255.255.240 any access-list acl_in remark Allow Vendor connections to LAN access-list acl_in extended permit tcp host Vendor any object-group RemoteDesktop access-list acl_in remark NetworkScanner scan-to-email incoming (from smtp.mail.microsoftonline.com to PCs) access-list acl_in extended permit object-group TCPUDP any object-group Scan-to-email host NetworkScanner object-group Scan-to-email access-list acl_out extended permit icmp any any access-list acl_out extended permit tcp any any access-list acl_out extended permit udp any any access-list SSLVPNSplitTunnel standard permit LAN_Subnet 255.255.255.0 access-list nonat extended permit ip VPN_Subnet 255.255.255.0 LAN_Subnet 255.255.255.0 access-list nonat extended permit ip LAN_Subnet 255.255.255.0 VPN_Subnet 255.255.255.0 access-list inside_access_out remark NetworkScanner Scan-to-email outgoing (from scanner to Internet) access-list inside_access_out extended permit object-group TCPUDP host NetworkScanner object-group Scan-to-email any object-group Scan-to-email access-list inside_access_out extended permit tcp any interface outside eq https static (inside,outside) PUBLIC_IP LOCAL_IP[server object] netmask 255.255.255.255 access-group inside_access_out out interface inside access-group acl_in in interface outside access-group acl_out out interface outside

我不确定是否需要将这个“静态”条目取消,因为我把我的问题混淆了……并且还与最后一个访问列表条目进行了比较,我尝试了内部和外部的界面,我不确定它是否应该是www,因为该网站是在https上运行的。 我认为它只应该是https。

呃大概是CISCO的错。 老实说,对我来说ASDM有点混乱,所以我会通过你的命令行指令: 

 ssh pix@INTERNAL_IP [type cisco password] enable [retype password] show conf <- retrieve the config plain text

现在你应该有这样的线 

 access-group outside_access_in in interface outside access-list outside_access_in extended permit tcp any interface outside eq www

也许访问列表名称是不同的,但没关系。 另外在我的情况下,外部接口是互联网连接的VLan2的别名。 这使得www连接的stream量可以被接受。

现在为了端口转发,你需要一个这样的线路: 

 static (inside,outside) tcp interface www LOCAL_IP www netmask 255.255.255.255

再次,里面是我的本地接口的名称,作为networking的网关。 如果你没有这样的线路,只需添加configure terminal 。 添加魔术线,应该工作。 如果你在控制台需要任何帮助,只需使用魔法? 🙂