Ich habe versucht, NAT einzurichten und meinem lokalen Netzwerk Zugriff auf eine öffentliche IP-Adresse zu gewähren, aber es funktioniert einfach nicht. Ich verwende zum ersten Mal eine Cisco-Firewall.
Vielen Dank für Ihre Hilfe!
Antwort1
Da Sie zum ersten Mal mit einer Firewall arbeiten, erwähne ich zusätzliche Konfigurationen, die Ihnen beim Lernen/Debuggen der ASA-Konfiguration helfen werden.
interface FastEthernet 0/0
nameif outside
security-level 0
ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
nameif inside
security-level 100
ip address <inside_ip_firewall> <inside netmask>
access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside
route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>
telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside
Sie können Protokollierung hinzufügen, um Sie beim Debuggen zu unterstützen.
logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>
Der Syslog-Server sollte auf UDP-Port 514 auf Syslog-Meldungen von der Firewall warten. Diese sind hilfreich beim Debuggen von Problemen beim Experimentieren mit der Firewall vor dem Einsatz in der Produktion.
Dies ist eine äußerst unsichere Firewall-Konfiguration, da Telnet aktiviert ist und zwar von allen internen IPs aus. Außerdem wird alles zugelassen. Die Idee ist, Ihnen zu helfen, die NAT-Konfiguration zu testen, ohne sich um ACLs kümmern zu müssen.
Jetzt werden Verbindungen an Port 80 weitergeleitet, um die externe Schnittstelle von ASA zu einem Server zu nutzen
static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100
Ähnlich für 443 verwenden
static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100
Wenn Sie mit NAT vertraut sind, können Sie Innen-, Außen- und DMZ-Datenverkehr einrichten und eine restriktive ACL konfigurieren, um nur relevanten Datenverkehr zuzulassen.
Es gibt auch andere NAT/PAT-Typen, die Sie in ASA konfigurieren können.
Antwort2
Verwenden der Weboberfläche (ASDM):
1. Fügen Sie eine statische NAT-Regel hinzu. Gehen Sie zu Konfiguration -> NAT. Klicken Sie auf „Hinzufügen“ und dann auf „Statische NAT-Regel hinzufügen“. Geben Sie Ihre internen IP-Informationen unter „Realadresse“ und Ihre externen IP-Informationen unter „Statische Übersetzung“ ein. Aktivieren Sie „PAT aktivieren“ und geben Sie 80 (oder 443) ein.
2. Ändern Sie die Sicherheitsrichtlinie, um Datenverkehr zuzulassen. Gehen Sie zu Konfiguration -> Sicherheitsrichtlinie. Klicken Sie auf Hinzufügen und erstellen Sie eine Regel, die eingehenden Datenverkehr von der externen Schnittstelle (beliebige Quelle) an die interne IP-Adresse (unter Angabe des Ports) zulässt.
Antwort3
Es sieht so aus, als ob hierauf schon eine Weile keine Antwort mehr gegeben wurde, aber ich werde versuchen zu erklären, was wir auf unserem 5510 haben.
Erstens habe ich gehört, dass es Probleme gibt, wenn Sie nur eine externe/öffentliche IP-Adresse haben. Sie müssen einige zusätzliche Konfigurationen vornehmen und ich bin mir nicht sicher, was das ist. Ich gehe davon aus, dass Sie mindestens zwei haben und eine davon die externe IP der Firewall ist. Wir werden unten eine verfügbare verwenden.
Gehen Sie in ASDM zu „Konfiguration“ -> „Firewall“ -> „NAT-Regeln“
Klicken Sie auf Hinzufügen -> Statische NAT-Regel hinzufügen
- Original -> Schnittstelle: innen
- Original -> Quelle: [interne IP-Adresse]
- Übersetzt -> Schnittstelle: außen
- Übersetzt -> IP-Adresse verwenden: [unbenutzte öffentliche IP-Adresse]
- Portadressübersetzung -> Portadressübersetzung aktivieren
- Portadressübersetzung -> Protokoll: TCP
- Portadressübersetzung -> Ursprünglicher Port: http
- Portadressübersetzung -> Übersetzter Port: http
Klicken Sie auf „OK“. Sie können eine weitere Regel für https/443 hinzufügen, sobald Sie sicher sind, dass http/80 funktioniert.
Als Nächstes kommt ein Teil, der mich verwirrt hat, als ich mein 5510 zum ersten Mal bekam. Stellen Sie also sicher, dass Sie wissen, welche Dinge wohin gehören.
Gehen Sie zu Zugriffsregeln (ASDM -> Konfiguration -> Firewall -> Zugriffsregeln)
Hinzufügen -> Zugriffsregel hinzufügen
- Schnittstelle: außen(nicht im Inneren)
- Aktion: Erlauben
- Quelle: beliebig
- Ziel: [dieselbe öffentliche IP-Adresse wie oben](nicht die interne IP)
- Dienst: tcp/http, tcp/https
OK klicken
Das sollte es sein. Ich glaube, die Idee ist, dass Sie den Sicherheitszugriff auf die externe/öffentliche IP zulassen und dann NAT die Übersetzung durchführt, wenn die Sicherheitsregel dies zulässt.