為 Cisco ASA 5510 上的連接埠 443/80 建立 NAT 規則和安全性原則

為 Cisco ASA 5510 上的連接埠 443/80 建立 NAT 規則和安全性原則

我一直在嘗試設定 NAT 並授予對我的本地網路的公共 IP 位址的存取權限,但我無法讓它工作。這是我第一次使用思科防火牆。

感謝您的幫忙!

答案1

由於這是您第一次使用防火牆,我提到額外的配置,這將幫助您學習/調試 ASA 配置

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

您可以新增日誌記錄以協助您進行偵錯

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

系統日誌伺服器應在 UDP 連接埠 514 上偵聽來自防火牆的系統日誌訊息。這些有助於在部署到生產之前試驗防火牆時調試問題。

這是極度不安全的防火牆配置,因為 telnet 已啟用,而且所有內部 IP 都已啟用。一切都被允許。這個想法是幫助您測試 NAT 配置,而不必擔心 ACL。

現在將連線轉送至 ASA 外部介面的連接埠 80 供某些伺服器使用

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

同樣適用於 443 使用

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

一旦您熟悉了 NAT,您可以選擇內部、外部和 DMZ,並設定限制性 ACL 以僅允許相關流量。

您也可以在 ASA 中設定其他類型的 NAT/PAT。

答案2

使用 Web 介面 (ASDM):

1. 新增靜態 NAT 規則。 轉至配置 -> NAT。按一下“新增”,然後按一下“新增靜態 NAT 規則”。在「真實位址」下輸入您的內部 IP 訊息,在「靜態轉換」下輸入您的外部 IP 資訊。勾選“啟用 PAT”並輸入 80(或 443)。

2. 修改安全性策略以允許流量。 前往配置 -> 安全性原則。按一下「新增」並建立一條規則,允許從外部介面(來源任意)到內部 IP 位址(指定連接埠)的傳入流量。

答案3

看起來這個問題已經有一段時間沒有得到回應了,但我會嘗試解釋一下 5510 上的內容。

首先,我聽說如果您只有一個外部/公用 IP 位址,就會出現問題。你必須做一些額外的配置,我不確定那是什麼。我假設您至少有兩個,其中之一是防火牆的外部 IP。我們將使用下面一個可用的。

在 ASDM 中,前往設定 -> 防火牆 -> NAT 規則

點選新增 -> 新增靜態 NAT 規則

  • 原始->介面:內部
  • 原文 -> 來源:[內部 IP 位址]
  • 翻譯 -> 介面:外部
  • 已翻譯 -> 使用 IP 位址:[未使用的公用 IP 位址]
  • 連接埠位址轉換 -> 啟用連接埠位址轉換
  • 連接埠位址轉換 -> 協定:TCP
  • 連接埠位址轉換 -> 原始連接埠:http
  • 連接埠位址轉換 -> 轉換後的連接埠:http

按一下“確定”。一旦確定 http/80 正常運作,您就可以為 https/443 新增另一個規則。

接下來是我第一次拿到 5510 時讓我感到困惑的部分,所以請確保您知道哪些東西應該放在哪裡。

前往存取規則(ASDM -> 設定 -> 防火牆 -> 存取規則)

新增->新增存取規則

  • 介面:外部(不在裡面)
  • 行動:許可
  • 來源:任意
  • 目的地:[與上面相同的公共IP位址](不是內部IP)
  • 服務:tcp/http、tcp/https

按一下“確定”

應該是這樣。我相信這個想法是您允許對外部/公共 IP 進行安全訪問,然後 NAT 在安全規則允許的情況下進行轉換。

相關內容