Cara meng-host server di zona DMZ ASA

8

Saya memiliki ASA5525-X dengan 9.1.2. Di dalamnya ada beberapa antarmuka, tetapi terutama saya sedang melihat:

(subnet palsu)

  • di dalam 10.0.0.0/24, tingkat keamanan 100
  • di luar 10.0.200.0/24, tingkat keamanan 0
  • DMZ 10.0.100.0/24, tingkat keamanan 50

Saya memiliki server DNS di DMZ, 10.0.100.1 yang dapat saya akses dari dalam tanpa masalah. Namun, saya ingin ditampilkan sebagai 10.0.200.95 (bukan IP nyata untuk contoh ini) kepada orang-orang di internet. Saya memiliki apa yang saya pikir diperlukan untuk ini berfungsi, tetapi ketika saya mengujinya, paket-paket sedang dijatuhkan oleh acl default.

Potongan konfigurasi terkait:

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.0.200.194 255.255.255.192 
interface GigabitEthernet0/6
 nameif DMZ
 security-level 50
 ip address 10.0.100.254 255.255.255.0 
interface GigabitEthernet0/7
 nameif inside
 security-level 100
 ip address 10.0.0.254 255.255.255.0 

object network DMZ-DNS-Server-1
 host 10.0.100.1

nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,DMZ) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static DMZ DMZ no-proxy-arp route-lookup
nat (DMZ,outside) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (DMZ,outside-backup) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup

object network DMZ-DNS-Server-1
 nat (DMZ,outside) static 10.0.200.195 net-to-net

nat (inside,outside-backup) after-auto source dynamic any interface
nat (inside,outside) after-auto source dynamic any interface
nat (DMZ,outside) after-auto source dynamic any interface
nat (DMZ,outside-backup) after-auto source dynamic any interface


access-list traffic-in-outside extended permit tcp any host 10.0.200.195 eq domain 
access-list traffic-in-outside extended permit udp any host 10.0.200.195 eq domain 
access-group traffic-in-outside in interface outside

Ada ide?

cisco cisco-asa nat some_guy_long_gone
sumber
pernyataan nat lainnya telah ditambahkan. backup luar adalah koneksi internet kedua dari penyedia lain dan merupakan jalan kembali untuk akses internet dan vpn tetapi tidak terkait dengan server ini (tidak ada IP statis dari sisi yang digunakan untuk itu).
some_guy_long_gone
maaf, saya pikir saya telah mengedit komentar Anda alih-alih menambahkan satu ...
some_guy_long_gone

Jawaban:

8

Ubah ACL Anda untuk merujuk alamat asli server (10.0.100.1) alih-alih alamat yang diterjemahkan (10.0.200.195). Ini adalah perubahan lain di 8.3+. ACL cocok dengan alamat asli.

Santino
sumber
1

Anda perlu mengatur NAT statis untuk melakukan ini, karena 8.3+ ini telah sedikit berubah, di 9 Anda ingin melakukannya seperti:

object network STATIC_NAT
 host 10.0.100.1
 nat (DMZ,outside) static 10.0.200.95
David Rothera
sumber
Itu dalam konfigurasi yang saya bagikan. ASA memecahnya menjadi dua pernyataan jaringan objek dengan nama yang sama tetapi dikonfigurasi sama seperti yang Anda miliki. Konfigurasi terdaftar saya menunjukkan "net-to-net" tetapi awalnya saya mengkonfigurasinya tanpa bagian itu dan masih tidak berfungsi.
some_guy_long_gone
Ah ok, sudahkah Anda mencoba menggunakan packet-tracerperintah untuk mengemulasi sebuah paket melalui ASA untuk melihat di mana ia gagal?
David Rothera
Ya, ia menyatakan sedang dijatuhkan oleh acl default yang tampaknya menyiratkan bahwa itu tidak mengenai acl yang saya buat untuk port 53 pada IP itu.
some_guy_long_gone