Come ospitare server nella zona DMZ di un ASA

8

Ho un ASA5525-X con 9.1.2. Su di esso ci sono diverse interfacce, ma principalmente sto guardando:

(sottoreti false)

all'interno 10.0.0.0/24, livello di sicurezza 100
fuori dal 10.0.200.0/24, livello di sicurezza 0
DMZ 10.0.100.0/24, livello di sicurezza 50

Ho un server DNS in DMZ, 10.0.100.1 a cui posso accedere dall'interno senza problemi. Tuttavia, voglio che venga visualizzato come 10.0.200.95 (non un vero IP per questo esempio) per le persone su Internet. Ho quello che pensavo fosse necessario per far funzionare tutto questo, ma quando lo collaudo, i pacchetti vengono eliminati dall'acl predefinito.

Pezzi di configurazione pertinenti:

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.0.200.194 255.255.255.192 
interface GigabitEthernet0/6
 nameif DMZ
 security-level 50
 ip address 10.0.100.254 255.255.255.0 
interface GigabitEthernet0/7
 nameif inside
 security-level 100
 ip address 10.0.0.254 255.255.255.0 

object network DMZ-DNS-Server-1
 host 10.0.100.1

nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,DMZ) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static DMZ DMZ no-proxy-arp route-lookup
nat (DMZ,outside) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (DMZ,outside-backup) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup

object network DMZ-DNS-Server-1
 nat (DMZ,outside) static 10.0.200.195 net-to-net

nat (inside,outside-backup) after-auto source dynamic any interface
nat (inside,outside) after-auto source dynamic any interface
nat (DMZ,outside) after-auto source dynamic any interface
nat (DMZ,outside-backup) after-auto source dynamic any interface


access-list traffic-in-outside extended permit tcp any host 10.0.200.195 eq domain 
access-list traffic-in-outside extended permit udp any host 10.0.200.195 eq domain 
access-group traffic-in-outside in interface outside

Qualche idea?

cisco cisco-asa nat

— some_guy_long_gone
fonte

sono state aggiunte altre dichiarazioni nat. outside-backup è una seconda connessione Internet di un altro provider ed è il fallback per l'accesso a Internet e VPN, ma non è correlato a questo server (non viene utilizzato alcun IP statico da quel lato).

— some_guy_long_gone

mi

— scuso

8

Cambia la tua ACL in modo che faccia riferimento all'indirizzo reale del server (10.0.100.1) anziché all'indirizzo tradotto (10.0.200.195). Questa è un'altra modifica in 8.3+. Gli ACL corrispondono su indirizzi reali.

— Santino
fonte

1

Dovrai impostare un NAT statico per farlo, poiché 8.3+ è leggermente cambiato, in 9 vorrai farlo come:

object network STATIC_NAT
 host 10.0.100.1
 nat (DMZ,outside) static 10.0.200.95

— David Rothera
fonte

È nella configurazione che ho condiviso. L'ASA lo ha suddiviso in due istruzioni di rete di oggetti con lo stesso nome ma è stato configurato come l'hai. La mia configurazione elencata mostra "net-to-net" ma inizialmente l'ho configurata senza quel pezzo e ancora non funzionava.

— some_guy_long_gone

Ah ok, hai provato a usare il packet-tracercomando per emulare un pacchetto che attraversa l'ASA per vedere dove sta fallendo?

— David Rothera,

Sì, afferma che viene rilasciato dall'acl predefinito, il che sembra implicare che non sta colpendo l'acl che ho creato per la porta 53 a quell'IP.

— some_guy_long_gone