Comment héberger le serveur dans la zone DMZ d'un ASA

8

J'ai un ASA5525-X avec 9.1.2. Il y a plusieurs interfaces, mais principalement je regarde:

(faux sous-réseaux)

  • à l'intérieur de 10.0.0.0/24, niveau de sécurité 100
  • en dehors du 10.0.200.0/24, niveau de sécurité 0
  • DMZ 10.0.100.0/24, niveau de sécurité 50

J'ai un serveur DNS en DMZ, 10.0.100.1 auquel je peux accéder de l'intérieur sans problème. Cependant, je veux qu'il apparaisse comme 10.0.200.95 (pas une vraie IP pour cet exemple) aux gens sur Internet. J'ai ce que je pensais nécessaire pour que cela fonctionne, mais quand je le teste, les paquets sont supprimés par le défaut acl.

Pièces de configuration pertinentes:

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.0.200.194 255.255.255.192 
interface GigabitEthernet0/6
 nameif DMZ
 security-level 50
 ip address 10.0.100.254 255.255.255.0 
interface GigabitEthernet0/7
 nameif inside
 security-level 100
 ip address 10.0.0.254 255.255.255.0 

object network DMZ-DNS-Server-1
 host 10.0.100.1

nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,DMZ) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static DMZ DMZ no-proxy-arp route-lookup
nat (DMZ,outside) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (DMZ,outside-backup) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup

object network DMZ-DNS-Server-1
 nat (DMZ,outside) static 10.0.200.195 net-to-net

nat (inside,outside-backup) after-auto source dynamic any interface
nat (inside,outside) after-auto source dynamic any interface
nat (DMZ,outside) after-auto source dynamic any interface
nat (DMZ,outside-backup) after-auto source dynamic any interface


access-list traffic-in-outside extended permit tcp any host 10.0.200.195 eq domain 
access-list traffic-in-outside extended permit udp any host 10.0.200.195 eq domain 
access-group traffic-in-outside in interface outside

Des idées?

some_guy_long_gone
la source
les autres instructions nat ont été ajoutées. outside-backup est une deuxième connexion Internet d'un autre fournisseur et constitue la solution de rechange pour l'accès Internet et VPN mais n'est pas liée à ce serveur (aucune adresse IP statique de ce côté n'est utilisée pour cela).
some_guy_long_gone
toutes mes excuses, je pense avoir édité votre commentaire au lieu d'en ajouter un ...
some_guy_long_gone

Réponses:

8

Modifiez votre ACL pour référencer l'adresse réelle du serveur (10.0.100.1) au lieu de l'adresse traduite (10.0.200.195). Ceci est un autre changement en 8.3+. Les ACL correspondent aux adresses réelles.

Santino
la source
1

Vous devrez configurer un NAT statique pour ce faire, car la version 8.3+ a légèrement changé, en 9, vous voudrez le faire comme:

object network STATIC_NAT
 host 10.0.100.1
 nat (DMZ,outside) static 10.0.200.95 
David Rothera
la source
C'est dans la configuration que j'ai partagée. L'ASA l'a divisé en deux instructions de réseau d'objets avec le même nom mais il a été configuré de la même manière que vous l'avez. Ma configuration listée montre "net-to-net" mais à l'origine je l'ai configurée sans cette pièce et cela ne fonctionnait toujours pas.
some_guy_long_gone
Ah ok, avez-vous essayé d'utiliser la packet-tracercommande pour émuler un paquet passant par l'ASA pour voir où il échoue?
David Rothera
Oui, il indique qu'il est abandonné par l'acl par défaut, ce qui semble impliquer qu'il ne frappe pas l'acl que j'ai créé pour le port 53 à cette IP.
some_guy_long_gone