user12513 Asked: 2009-07-12 08:54:51 +0800 CST2009-07-12 08:54:51 +0800 CST 2009-07-12 08:54:51 +0800 CST 为 Cisco ASA 5510 上的端口 443/80 创建 NAT 规则和安全策略 772 我一直在尝试设置 NAT 并授予对本地网络的公共 IP 地址的访问权限,但我无法让它工作。这是我第一次使用 Cisco 防火墙。 谢谢你的帮助! firewall router cisco nat port-forwarding 3 个回答 Voted Saurabh Barjatiya 2009-07-12T08:26:03+08:002009-07-12T08:26:03+08:00 因为这是您第一次使用防火墙,所以我提到了额外的配置,这将帮助您学习/调试有关 ASA 配置的信息 interface FastEthernet 0/0 nameif outside security-level 0 ip address <outside_ip_firewall> <outside netmask> interface FastEthernet 0/1 nameif inside security-level 100 ip address <inside_ip_firewall> <inside netmask> access-list allow_everything permit tcp any any access-list allow_everything permit udp any any access-list allow_everything permit icmp any an access-group allow_everything in interface inside access-group allow_everything out interface inside access-group allow_everything in interface outside access-group allow_everything out interface outside route inside 10.0.0.0 255.0.0.0 <inside_gateway> route inside 172.16.0.0 255.240.0.0 <inside_gateway> route inside 192.168.0.0 255.255.0.0 <inside_gateway> route outside 0.0.0.0 0.0.0.0 <outside_gateway> telnet 10.0.0.0 255.0.0.0 inside telnet 172.16.0.0 255.240.0.0 inside telnet 192.168.0.0 255.255.0.0 inside 您可以添加日志记录以帮助您使用调试 logging enable logging timestamp logging permit-hostdown logging host inside <syslog server ip> udp/514 logging trap notifications logging console 3 logging from-address asa@<your-domain> logging mail 3 logging recipient-address <your email id> level errors smtp-server <smtp server 1 ip> <smtp server 2 ip> 系统日志服务器应在 UDP 端口 514 上侦听来自防火墙的系统日志消息。这些有助于在部署生产之前尝试使用防火墙时调试问题。 是非常不安全的防火墙配置,因为启用了 telnet 并且所有内部 IP 也是如此。一切都被允许。这个想法是帮助您测试 NAT 配置而不用担心 ACL。 现在将 ASA 外部接口的端口 80 的连接转发给某些服务器使用 static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100 同样对于 443 使用 static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100 一旦您对 NAT 感到满意,就可以使用内部、外部和 DMZ 并配置限制性 ACL 以仅允许相关流量。 您还可以在 ASA 中配置其他类型的 NAT/PAT。 Adam Brand 2009-07-12T11:37:07+08:002009-07-12T11:37:07+08:00 使用 Web 界面 (ASDM): 1. 添加静态 NAT 规则。 转到配置-> NAT。单击添加,然后单击“添加静态 NAT 规则”。将您的内部 IP 信息放在 Real Address 下,将您的外部 IP 信息放在 Static Translation 下。勾选“启用 PAT”并输入 80(或 443)。 2. 修改安全策略以允许流量。 转到配置 -> 安全策略。单击添加并创建一个规则,允许从外部接口(任何来源)到内部 IP 地址(指定端口)的传入流量。 David 2009-07-24T23:47:34+08:002009-07-24T23:47:34+08:00 看起来这个问题已经有一段时间没有得到回应了,但我会试着解释一下我们的 5510 上有什么。 首先,我听说如果您只有一个外部/公共 IP 地址会出现问题。你必须做一些额外的配置,我不确定那是什么。我假设您至少有两个,其中之一是防火墙的外部 IP。我们将在下面使用一个可用的。 在 ASDM 中,转到配置 -> 防火墙 -> NAT 规则 单击添加 -> 添加静态 NAT 规则 原始 -> 接口:内部 原始 -> 来源:[内部 IP 地址] 翻译->接口:外部 翻译->使用IP地址:[未使用的公共IP地址] 端口地址转换 -> 启用端口地址转换 端口地址转换 -> 协议:TCP 端口地址翻译 -> 原始端口:http 端口地址翻译 -> 翻译后的端口:http 单击确定。一旦您确定 http/80 正常工作,您可以为 https/443 添加另一条规则。 接下来是我第一次拿到 5510 时让我感到困惑的部分,因此请确保您知道将哪些东西放在哪里。 转到访问规则(ASDM -> 配置 -> 防火墙 -> 访问规则) 添加 -> 添加访问规则 接口:外部(不是内部) 行动:许可 来源:任何 目的地:[与上面相同的公共 IP 地址] (不是内部 IP) 服务:tcp/http、tcp/https 点击确定 应该是这样的。我相信这个想法是您允许对外部/公共 IP 进行安全访问,然后如果安全规则允许,NAT 会进行转换。
因为这是您第一次使用防火墙,所以我提到了额外的配置,这将帮助您学习/调试有关 ASA 配置的信息
您可以添加日志记录以帮助您使用调试
系统日志服务器应在 UDP 端口 514 上侦听来自防火墙的系统日志消息。这些有助于在部署生产之前尝试使用防火墙时调试问题。
是非常不安全的防火墙配置,因为启用了 telnet 并且所有内部 IP 也是如此。一切都被允许。这个想法是帮助您测试 NAT 配置而不用担心 ACL。
现在将 ASA 外部接口的端口 80 的连接转发给某些服务器使用
同样对于 443 使用
一旦您对 NAT 感到满意,就可以使用内部、外部和 DMZ 并配置限制性 ACL 以仅允许相关流量。
您还可以在 ASA 中配置其他类型的 NAT/PAT。
使用 Web 界面 (ASDM):
1. 添加静态 NAT 规则。 转到配置-> NAT。单击添加,然后单击“添加静态 NAT 规则”。将您的内部 IP 信息放在 Real Address 下,将您的外部 IP 信息放在 Static Translation 下。勾选“启用 PAT”并输入 80(或 443)。
2. 修改安全策略以允许流量。 转到配置 -> 安全策略。单击添加并创建一个规则,允许从外部接口(任何来源)到内部 IP 地址(指定端口)的传入流量。
看起来这个问题已经有一段时间没有得到回应了,但我会试着解释一下我们的 5510 上有什么。
首先,我听说如果您只有一个外部/公共 IP 地址会出现问题。你必须做一些额外的配置,我不确定那是什么。我假设您至少有两个,其中之一是防火墙的外部 IP。我们将在下面使用一个可用的。
在 ASDM 中,转到配置 -> 防火墙 -> NAT 规则
单击添加 -> 添加静态 NAT 规则
单击确定。一旦您确定 http/80 正常工作,您可以为 https/443 添加另一条规则。
接下来是我第一次拿到 5510 时让我感到困惑的部分,因此请确保您知道将哪些东西放在哪里。
转到访问规则(ASDM -> 配置 -> 防火墙 -> 访问规则)
添加 -> 添加访问规则
点击确定
应该是这样的。我相信这个想法是您允许对外部/公共 IP 进行安全访问,然后如果安全规则允许,NAT 会进行转换。