请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器
查看: 952|回复: 7

ASA5525防火墙NAT映射问题,大神指导!

[复制链接]
发表于 2020-1-9 16:46:13 | 显示全部楼层 |阅读模式
3可用金钱
需求:内网一台服务器的80端口做了目的地址转换(端口映射)后,可以供公网的用户访问【映射的公网IP:80】来访问该服务。现在需要实现内网的用户通过内网PC也可以通过【映射的公网IP:80】来访问。
请大神支招,就是配置不成功。

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2020-1-9 16:50:23 | 显示全部楼层
附加配置:
nat (any,inside) source dynamic any outside1-2 destination static outside1-2 192.168.31.55 service 80 80
nat (inside,inside) source dynamic any interface destination static 192.168.31.55 192.168.31.55 service 80 80
请问配置哪里出错了,谢谢!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-1-9 17:28:22 | 显示全部楼层
本帖最后由 YilinChen 于 2020-1-9 17:30 编辑

不应该这样访问,内网用户应该通过内网地址来访问,不应该从防火墙绕一圈再回到防火墙内部;
这是不合理的流量,防火墙本身的安全规则默认就是拒绝这样的流量的;
当然,凡事无绝对,客户是上帝,就算是思科也是会妥协的,虽然心里把甲方爸爸鄙视了一万遍,还是给出解决方案,那就是U-Trun NAT,或者叫Hairpinning NAT.

关键字都告诉你了,网上搜索一下吧
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-1-14 08:48:02 | 显示全部楼层
同意楼上关于Hairpinning NAT的解释,也同意这个需求看上去不合理。

补充几点:
1. 问题“就是配置不成功。”的隐含意思是根据某些指导文档配置的,建议也贴出来,方便讨论。
2. 确认一下楼上提供的链接 https://networklessons.com/cisco/asa-firewall/cisco-asa-hairpin-internal-server中的拓扑图是否就是实际场景
3. 从那个数据流看,因为上面的链接看不到完整的内容,就可见内容而已,还是有问题的,就是Web Server回H1的数据包,直接是依靠ARP的,不会回到防火墙。这样的话,防火墙上就是单向的数据流,状态检查会有问题。从逻辑上,强行解决回包问题的方案应该是把源地址也NAT一次,这样Server的回包就会回到防火墙上。
4. 建议在Client,Server,防火墙上都抓一下数据包,可以看得更清楚一点。

最后,最好不要用这样的结构,看不出有什么明显好处。

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-1-15 09:22:40 | 显示全部楼层
内网的终端访问服务器,不需要在防火墙上做NAT地址转换。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-1-16 16:52:10 | 显示全部楼层
内网的终端访问服务器就可以了。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-1-19 16:44:50 | 显示全部楼层
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2020-2-10 10:01:07 | 显示全部楼层
本帖最后由 Lee15166 于 2020-2-10 10:02 编辑

这个问题貌似是 NAT 回流,即:内网的设备,通过访问 Server 对外映射的公网IP+端口的方式,访问内网的服务。
我记得这个在 ASA 上是可以做到的。

请参照: http://blog.chinaunix.net/uid-13415174-id-5103362.html
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 思科 CCO 登录 | 思科 CCO 注册   

本版积分规则

Archiver | 思科社区  

GMT+8, 2020-8-13 02:21 , Processed in 0.095013 second(s), 49 queries .

京ICP备11014401号-17

© 2020 思科系统.版权所有 重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表