服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 在Cisco ASA 5510上为端口443/80创buildNAT规则和安全策略
Intereting Posts
我怎样才能让我的戴尔R300的PERC 5e RAID控制器恢复在线? caching清漆中的所有文件 Exchange Server大小调整 Cygwin Rxvt问题 在不同的环境下使用AddHandler将文件parsing为PHP 如何在Centos 5中作为后台程序运行服务 AWS Storage Gateway卷中的文件系统损坏 如何在Nginx日志文件中查看响应的内容types IIS 6 – HTTP突然停止工作,认为FTP继续工作 Ovirt托pipe引擎实时迁移 我们如何跟踪运行IIS的Windows 2003 Server上的networkingstream量? my.cnf参数启用二进制日志loggingmySQL 4.1.20 工头404试图获得令牌 netsh advfirewall设置商店gpo:%COMPUTERNAME%不起作用 需要排除批量For循环中的特定结果

在Cisco ASA 5510上为端口443/80创buildNAT规则和安全策略

我一直在尝试设置NAT,并允许访问公共IP地址到我的本地networking,我只是不能得到它的工作。 这是我第一次使用思科防火墙

谢谢你的帮助!

由于这是您第一次使用防火墙,我提到了额外的configuration,这将有助于您学习/debugging有关ASAconfiguration 

interface FastEthernet 0/0 nameif outside security-level 0 ip address <outside_ip_firewall> <outside netmask> interface FastEthernet 0/1 nameif inside security-level 100 ip address <inside_ip_firewall> <inside netmask> access-list allow_everything permit tcp any any access-list allow_everything permit udp any any access-list allow_everything permit icmp any an access-group allow_everything in interface inside access-group allow_everything out interface inside access-group allow_everything in interface outside access-group allow_everything out interface outside route inside 10.0.0.0 255.0.0.0 <inside_gateway> route inside 172.16.0.0 255.240.0.0 <inside_gateway> route inside 192.168.0.0 255.255.0.0 <inside_gateway> route outside 0.0.0.0 0.0.0.0 <outside_gateway> telnet 10.0.0.0 255.0.0.0 inside telnet 172.16.0.0 255.240.0.0 inside telnet 192.168.0.0 255.255.0.0 inside

您可以添加日志logging来帮助您使用debugging 

 logging enable logging timestamp logging permit-hostdown logging host inside <syslog server ip> udp/514 logging trap notifications logging console 3 logging from-address asa@<your-domain> logging mail 3 logging recipient-address <your email id> level errors smtp-server <smtp server 1 ip> <smtp server 2 ip>

系统日志服务器应在UDP端口514上侦听来自防火墙的系统日志消息。 在部署生产之前,在尝试使用防火墙时,这些function有助于debugging问题。

是非常不安全的防火墙configuration作为telnet启用,也是从内部的所有IP。 还有一切都被允许。 这个想法是帮助您testingNATconfiguration,而不用担心ACL。

现在转发到ASA的外部接口的端口80连接到某些服务器使用 

 static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

同样用于443的使用 

 static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

一旦你对NAT感到满意,就可以进行内部,外部和DMZ的configuration,并configuration限制性的ACL,只允许相关的stream量。

在ASA中还可以configuration其他types的NAT / PAT。

使用Web界面(ASDM):

1.添加静态NAT规则。 进入configuration – > NAT。 点击添加,然后点击“添加静态NAT规则”。 在“实际地址”下input您的内部IP信息,在“静态转换”下input您的外部IP信息。 勾选“启用PAT”并input80(或443)。

2.修改安全策略以允许通信。 转到configuration – >安全策略。 单击添加并创build一个规则,允许从外部接口(源任何)到内部IP地址(指定端口)的传入stream量。

看起来这一段时间没有得到回应,但是我会试着解释我们在5510上的情况。

首先,我听说如果只有一个外部/公共IP地址,就会出现问题。 你必须做一些额外的configuration,我不知道那是什么。 我假设你至less有两个,其中一个是防火墙的外部IP。 我们将在下面使用一个可用的。

在ASDM中,进入configuration – >防火墙 – > NAT规则

点击添加 – >添加静态NAT规则

  • 原创 – >界面:里面
  • 原始 – >来源:[内部IP地址]
  • 翻译 – >界面:外面
  • 翻译 – >使用IP地址:[未使用的公共IP地址]
  • 端口地址转换 – >启用端口地址转换
  • 端口地址转换 – >协议:TCP
  • 端口地址转换 – >原始端口:http
  • 端口地址转换 – >转换端口:http

点击OK。 一旦确定http / 80正在工作,您可以为https / 443添加另一个规则。

接下来是我第一次拿到5510时混淆的一部分,所以请确保你知道哪些东西放在哪里。

转到访问规则(ASDM – >configuration – >防火墙 – >访问规则)

添加 – >添加访问规则

  • 接口:外(不在里面)
  • 行动:许可
  • 来源:任何
  • 目的地:[与上面相同的公共IP地址] (不是内部IP)
  • 服务:tcp / http,tcp / https

点击OK

应该是这样的。 我相信这个想法是允许安全访问外部/公共IP,然后NAT在安全规则允许的情况下进行翻译。