J'ai un ASA5525-X avec 9.1.2. Il y a plusieurs interfaces, mais principalement je regarde:
(faux sous-réseaux)
- à l'intérieur de 10.0.0.0/24, niveau de sécurité 100
- en dehors du 10.0.200.0/24, niveau de sécurité 0
- DMZ 10.0.100.0/24, niveau de sécurité 50
J'ai un serveur DNS en DMZ, 10.0.100.1 auquel je peux accéder de l'intérieur sans problème. Cependant, je veux qu'il apparaisse comme 10.0.200.95 (pas une vraie IP pour cet exemple) aux gens sur Internet. J'ai ce que je pensais nécessaire pour que cela fonctionne, mais quand je le teste, les paquets sont supprimés par le défaut acl.
Pièces de configuration pertinentes:
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 10.0.200.194 255.255.255.192
interface GigabitEthernet0/6
nameif DMZ
security-level 50
ip address 10.0.100.254 255.255.255.0
interface GigabitEthernet0/7
nameif inside
security-level 100
ip address 10.0.0.254 255.255.255.0
object network DMZ-DNS-Server-1
host 10.0.100.1
nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,DMZ) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static DMZ DMZ no-proxy-arp route-lookup
nat (DMZ,outside) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (DMZ,outside-backup) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
object network DMZ-DNS-Server-1
nat (DMZ,outside) static 10.0.200.195 net-to-net
nat (inside,outside-backup) after-auto source dynamic any interface
nat (inside,outside) after-auto source dynamic any interface
nat (DMZ,outside) after-auto source dynamic any interface
nat (DMZ,outside-backup) after-auto source dynamic any interface
access-list traffic-in-outside extended permit tcp any host 10.0.200.195 eq domain
access-list traffic-in-outside extended permit udp any host 10.0.200.195 eq domain
access-group traffic-in-outside in interface outside
Des idées?
Réponses:
Modifiez votre ACL pour référencer l'adresse réelle du serveur (10.0.100.1) au lieu de l'adresse traduite (10.0.200.195). Ceci est un autre changement en 8.3+. Les ACL correspondent aux adresses réelles.
la source
Vous devrez configurer un NAT statique pour ce faire, car la version 8.3+ a légèrement changé, en 9, vous voudrez le faire comme:
la source
packet-tracer
commande pour émuler un paquet passant par l'ASA pour voir où il échoue?