我们有一个有四个networking的ASA 5510:内部,外部,dmz,WLAN。 里面的所有地址都有nat,dmz和WLAN。 我们的imap-server存在一个从内部到外部的静态策略。
这台服务器可以从外面访问。 好。 从WLAN我们无法访问此服务器。 从dmz也没有。 这是我们的问题。
我试图通过build立从内部到WLAN的第二个静态策略来解决这个问题,但这是一个DNS问题。 这必须有另一个名字,因为IP是与全球外部的IP不同的。 而且我不想使用水平分割或其他技术。
为什么这不可能?
我想我错过了一个指令或误解这里的东西。
你能点亮我吗? 我感谢每一个答案。
不pipe您是否将NAT内部主机转换为不太安全的接口,您仍然需要允许从不太安全的接口访问内部接口。
考虑到PIXOS的工作方式,如果没有 ACL,默认情况下允许从安全性更高的接口到安全性更低的接口进行访问。 但是,这不适用于从不太安全的接口到更安全的接口。
除此之外,在单独的接口上分配相同的NAT-IP IP没有问题(水平分割或其他) 假设这些不同的接口上的stream量永远不会暴露给对方(如果不是,那么你就是在桥接你的防火墙)
在DMZ示例中,您需要一个ACL来允许从 DMZ访问到 NAT-IMAP服务器的IP:
#access-list DMZ_access_in extended permit tcp any host <NAT-ed IP of IMAP server> eq 143 请注意 ,访问列表始终需要匹配NAT地址,因为它们在 NAT 之前应用。
Paulos和Adaptr,谢谢你的评论。 我已经解决了这个问题,但以一种不寻常的方式。 但是有些信息我没有告诉你。 首先:我把dmznetworking的安全级别从30降到0。 第二:我设置了第二条明确的路由到外面的路由器,虽然那里有一条默认路由! 但我加倍检查:没有这条路线没有连接,但与它的工作。 我有点惊呆了,但它的工作原理:S 0.0.0.0 0.0.0.0通过10.10.10.1,外部和S 10.10.20.1 255.255.255.255通过10.10.10.1,外部。 10.10.20.1是imap-server。
再次感谢您解决这个问题。