So hosten Sie einen Server in der DMZ-Zone eines ASA

8

Ich habe einen ASA5525-X mit 9.1.2. Darauf befinden sich mehrere Schnittstellen, aber in erster Linie schaue ich:

(gefälschte Subnetze)

  • innerhalb von 10.0.0.0/24, Sicherheitsstufe 100
  • außerhalb 10.0.200.0/24, Sicherheitsstufe 0
  • DMZ 10.0.100.0/24, Sicherheitsstufe 50

Ich habe einen DNS-Server in DMZ, 10.0.100.1, auf den ich problemlos von innen zugreifen kann. Ich möchte jedoch, dass es für Leute im Internet als 10.0.200.95 (in diesem Beispiel keine echte IP) angezeigt wird. Ich habe das, was ich für nötig hielt, damit dies funktioniert, aber wenn ich es teste, werden die Pakete von der Standard-ACL verworfen.

Relevante Konfigurationsstücke:

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.0.200.194 255.255.255.192 
interface GigabitEthernet0/6
 nameif DMZ
 security-level 50
 ip address 10.0.100.254 255.255.255.0 
interface GigabitEthernet0/7
 nameif inside
 security-level 100
 ip address 10.0.0.254 255.255.255.0 

object network DMZ-DNS-Server-1
 host 10.0.100.1

nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,DMZ) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static DMZ DMZ no-proxy-arp route-lookup
nat (DMZ,outside) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (DMZ,outside-backup) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup

object network DMZ-DNS-Server-1
 nat (DMZ,outside) static 10.0.200.195 net-to-net

nat (inside,outside-backup) after-auto source dynamic any interface
nat (inside,outside) after-auto source dynamic any interface
nat (DMZ,outside) after-auto source dynamic any interface
nat (DMZ,outside-backup) after-auto source dynamic any interface


access-list traffic-in-outside extended permit tcp any host 10.0.200.195 eq domain 
access-list traffic-in-outside extended permit udp any host 10.0.200.195 eq domain 
access-group traffic-in-outside in interface outside

Irgendwelche Ideen?

some_guy_long_gone
quelle
Die restlichen nat-Anweisungen wurden hinzugefügt. Outside-Backup ist eine zweite Internetverbindung eines anderen Anbieters und stellt den Rückgriff auf Internet- und VPN-Zugriff dar, bezieht sich jedoch nicht auf diesen Server (es wird keine statische IP von dieser Seite verwendet).
some_guy_long_gone
Entschuldigung, ich glaube, ich habe Ihren Kommentar bearbeitet, anstatt einen hinzuzufügen ...
some_guy_long_gone

Antworten:

8

Ändern Sie Ihre ACL so, dass anstelle der übersetzten Adresse (10.0.200.195) auf die tatsächliche Adresse des Servers (10.0.100.1) verwiesen wird. Dies ist eine weitere Änderung in 8.3+. ACLs stimmen mit realen Adressen überein.

Santino
quelle
1

Sie müssen ein statisches NAT einrichten, um dies zu tun, da sich dies ab Version 8.3 geringfügig geändert hat. In 9 möchten Sie dies wie folgt tun:

object network STATIC_NAT
 host 10.0.100.1
 nat (DMZ,outside) static 10.0.200.95 
David Rothera
quelle
Das ist in der Konfiguration, die ich geteilt habe. Der ASA hat es in zwei Objektnetzwerkanweisungen mit demselben Namen aufgeteilt, aber es wurde genauso konfiguriert, wie Sie es haben. Meine aufgelistete Konfiguration zeigt "net-to-net", aber ursprünglich habe ich sie ohne dieses Teil konfiguriert und es hat immer noch nicht funktioniert.
some_guy_long_gone
Ah ok, haben Sie versucht, mit dem packet-tracerBefehl ein Paket zu emulieren, das die ASA durchläuft, um festzustellen, wo es fehlschlägt?
David Rothera
Ja, es heißt, dass es von der Standard-ACL gelöscht wird, was zu bedeuten scheint, dass es nicht die ACL trifft, die ich für Port 53 an dieser IP erstellt habe.
some_guy_long_gone