解决Cisco ASA内网用户不能通过域名访问内网web问题
解决Cisco ASA内网用户不能通过域名访问内网web问题
本文档阐述lias在Cisco PIX防火墙中的用法.
Alias的两个功能: & &
利用DNS Doctoring修正外部DNS服务器回复
o 利用DNS Doctoring,PIX 将&改变& 外部DNS响应的地址到另一个IP，这个地址不同于DNS服务器上真实提供的域名-IP记录。
o 此功能实现从内部客户端通过内部IP地址连接到内部服务器上。
转换目标IP地址的dnat（Destination NAT）到另一个IP。
o 用dnat改变应用程序的标地址.
o 此功能实现从内部客户端调用外部地址访问周边网络（例如DMZ区），不修改DNS回复。
例如，一台机器发送数据到99.99.99.99,可使用alias命令把数据重定向到另一个地址10.10.10.10.可使用此命令避免你网络里的IP与互联网或另一个企业内部网的IP冲突。请参考pix官方文档：/univercd/cc/td/doc/product/iaabu/pix/index.htm
硬件和软件版本
& 此文适用于Cisco Secure PIX Firewall Software Releases 5.0.x或更高版本
用DNS Doctoring转换内部地址 & &
例1：web服务器地址10.10.10.10，对应的外部IP为99.99.99.99.
注意: DNS在防火墙外.在提示窗输入nslookup验证一下DNS服务器是如何解析你的web服务器的外部IP.客户端PC应该返回的是内部地址10.10.10.10,因为DNS请求经过PIX已经被它改变了。另外,要让DNS fixup正常工作, 需禁止proxy-arp功能。 如果你为DNS fixup使用alias命令，用列命令禁止proxy-arp
sysopt noproxyarp internal_interface
(注：但是我的PIX525没用此命令仍然设置成功。)
网络图如下：
如果你想用10.10.10.25这台机器通过访问你的web服务器,我们只需要实现以下alias命令:
alias (inside) 10.10.10.10 99.99.99.99 255.255.255.255
!--- 设置inside端口的DNS Doctoring.，一旦监测到发往inside端口的DNS
!---回复里IP内容为99.99.99.99，则用10.10.10.10替换掉，再发到客户端PC
接下来，必须为web服务器做静态地址转换,为所有人提供web服务器的80端口访问权(http):
static(inside,outside) 99.99.99.99 10.10.10.10 netmask 255.255.255.255
!--- 此命令建立web服务器真实地址10.10.10.10和外部地址99.99.99.99的转换
用access list命令赋予访问权
access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside
!--- 允许来自outside的任何用户访问web服务器的80端口
如果你喜欢用老版本的语法，可以用conduit命令代替access-list和access-group
conduit permit tcp host 99.99.99.99 eq www any
!--- 允许来自outside的任何用户访问web服务器的80端口
用目标NAT(dnat)转换DMZ地址 & &
如果web服务器在PIX的DMZ区,必须用alias作Destination NAT (dnat).
例2,web服务器在DMZ的地址为192.168.100.10, 外部地址99.99.99.99.我们要用dnat转换99.99.99.99为web服务器的真实地址192.168.100.10;从inside客户端发出的DNS请求和回复不会改变. 从inside的PC上看来就象访问外部地址99.99.99.99一样,所以DNS回复并未被PIX修改.
我们想从10.10.10.0 /24网络通过外部域名访问DMZ里的web服务器，并不想让PIX修改我们的DNS回复。让PIX作dnat把外部IP地址转为DMZ里web服务器真实地址192.168.100.10。
注意：当然了，如果从inside访问dmz里的192.168.100.10都不能够，光作这个也是不能访问的，前提是inside用户能够外访，也能访问到DMZ内部地址：
global (outside) 1 interface
global (dmz) 1 interface
nat (inside) 1 0 0
你不想利用interface占的地址，也可以另指定你相应端口网络里的地址
global (outside) 1 99.99.99.3
global (dmz) 1 192.168.100.2
nat (inside) 1 0 0
现在，用alias命令作dnat:
alias(inside) 99.99.99.99 192.168.100.10 255.255.255.255
!--- 此句设置dnat.DNS回复不会被PIX修改，因为外部地址99.99.99.99不匹配第二个地址(192.168.100.10)，由于发往客户端的DNS回复里有与目标地址99.99.99.99匹配，请求会&dnat-ed&. & &
注意: 此例中IP地址与上面DNS Doctoring的例子中顺序相反.
接下来做web服务器的静态转换，允许所有人访问其80端口(http):
static(dmz,outside) 99.99.99.99 192.168.100.10 netmask 255.255.255.255
!--- 建立dmz区服务器地址192.168.100.10与外部地址99.99.99.99间静态转换
赋予访问权，access list命令如下:
access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside
!--- 允许所有来自outside用户访问web服务器80端口.
同样，也可以使用老版本的conduit命令：
conduit permit tcp host 99.99.99.99 eq www any
!--- 允许所有来自outside用户访问web服务器80端口.
配置中的说明 & &
& alias命令里的interface应该是发出请求的客户端所在那个端口.
& 如果DMZ里也有客户端PC，需专门为dmz设置的alias命令 (也就是DNS doctoring)，
例如，你想让DMZ的其他客户端用外部域名访问DMZ的web服务器，其实做法已跟例1没什么区别，为DMZ增加一条alias，做一个DNS Doctoring修改它DNS回复就行了：
alias (dmz) 192.168.100.10 99.99.99.99 255.255.255.255
& 如果PIX有更多的端口，可以为不同的端口作多条alias命令。查看: 3148|回复: 14
怎么让外网访问内网的多个服务器？
在线时间 小时
阅读权限20
本帖最后由 sdwchow 于
07:45 编辑
& && &&&我们老师给我们出了个题目，内网使用172.16.0.0/16的地址分配。在出口路由器的出口配一个公网地址202.100.1.1/30.在路由器上使用端口NAT转换进行访问外网。同时内网有两个服务器，一个是FTP，一个是WEB。老师要求可以从Internet访问FTP和Web服务器，并且对Web服务器的请求应被送到Web服务器所在的地址172.16.1.100，而FTP请求则被送到FTP服务器所在的地址172.16.101.同时要求在外网能够直接telnet 200.100.1.1 到交换机上.
& && &&&大概就是这个样子：
捕获.JPG (32.16 KB, 下载次数: 1)
19:02 上传
& && &&&我觉得应该是使用固定端口转换，访问web服务器时使用浏览器80端口，使用ftp时使用20端口，使用telnet时使用23端口，但是实际配置我不知道怎么办，NAT好像没有直接确定端口的命令，应该是关联扩展ACL使用的吧？
& && &&&小弟新人，求解。
在线时间 小时
阅读权限20
请教啊请教
在线时间 小时
阅读权限30
外网telnet登陆就不用我说了吧！&&至于其他的根据你的要求我们一般会在出口路由上做上一个动态的NAT来转换内外ip 然后把服务器的内外ip再用静态NAT转换成公网ip（显然只申请一个公网ip是不够的哦！）这样就ok了！至于你说的那个什么端口，知道吗端口是属于第四层的东西了路由和交换分别属于三层和二层根本不是一回事、你照我说的配置下看看行不？
在线时间 小时
阅读权限70
使用静态扩展NAT
ip nat inside source static tcp 172.16.1.100 80 202.100.1.1 80
但这样配置多个不知道有没有问题呢？试一下吧
在线时间 小时
阅读权限20
悠★悠我★ 发表于
外网telnet登陆就不用我说了吧！&&至于其他的根据你的要求我们一般会在出口路由上做上一个动态的NAT来转换内 ...
没有办法，题目要求就是只有一个公网地址。不然就没那么麻烦了
在线时间 小时
阅读权限70
本帖最后由 狐海剑 于
20:01 编辑
狐海剑 发表于
使用静态扩展NAT
ip nat inside source static tcp 172.16.1.100 80 202.100.1.1 80
但这样配置多个不知 ...
刚刚试了一下，这样配置是没有问题的。不过你外网的端口必须是PAT转换。那么内部服务器映射多少个端口到外面都可以了。例如你的202.100.1.1首先要配成PAT.
设一个access-list 1.
ip nat inside source list 1 interface fa0/1 overload
再把你需要的服务器映射出去
ip nat inside source static tcp 172.16.1.100 80 202.100.1.1 80
然后我看必须内外网都要有DNS服务器。
DNS服务器中你要添加域名和IP地址。
外部DNS服务器之中添加内网的服务器IP地址是边界路由器的出口地址。
内部DNS服务器之中添加内网的服务器IP地址是服务器的真实私有地址。
那么外部主机访问的时候就直接打域名。如果直接打私有地址是肯定访问不了的。
在线时间 小时
阅读权限20
狐海剑 发表于
使用静态扩展NAT
ip nat inside source static tcp 172.16.1.100 80 202.100.1.1 80
但这样配置多个不知 ...
试了下，确实可以了，原来还有个扩展NAT能直接进行端口映射
在线时间 小时
阅读权限70
本帖最后由 mychong888 于
14:07 编辑
在线时间 小时
阅读权限20
谢谢各位，又学到了
在线时间 小时
阅读权限30
哥们啊&&把你的配置给粘贴一份上来看看& &我还真没用过这个带端口的静态转换& &我都是用的多ip做的！！O(∩_∩)O谢谢
在线时间 小时
阅读权限30
狐海剑 发表于
刚刚试了一下，这样配置是没有问题的。不过你外网的端口必须是PAT转换。那么内部服务器映射多少个端口到 ...
外网有dns可以理解，不明白为什么内网一定要有dns啊？&&数据包发过来的时候数据包里包涵源ip和目的ip没经过路由时目的ip为公网ip经过路由时目的ip就成了私网ip了吧（nat转换作用）？&&不明白数据是根据什么判断哪个是ftp服务器 还是web服务器的 求解释啊？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？
在线时间 小时
阅读权限70
本帖最后由 狐海剑 于
17:58 编辑
悠★悠我★ 发表于
外网有dns可以理解，不明白为什么内网一定要有dns啊？&&数据包发过来的时候数据包里包涵源ip和目的ip没经 ...
内网不一定要有~。不过实际应用中最好也加上嘛，毕竟没人愿意打IP地址的。成为一种习惯比较好！另外NAT有一个转换表，数据进出都会用转换表来MAP对应。所以自然就能够找到对应的FTP服务器或者是WEB服务器了。要看这个NAT转换表的话就用命令，show ip nat translations.表里面有IP地址和对应的端口号。
在线时间 小时
阅读权限30
我是来学习的哇
在线时间 小时
阅读权限40
在线时间 小时
阅读权限40
Powered by查看:2698|回复：3
网站服务器是：内网是：192.168.10.187 外网是：116.90.82.199
现在就是我在内网访问116.90.82.199访问不了，防火墙如何做？NAT映射了&&在外网访问服务器没有问题，端口也全开了，就是在本地局域网访问外网的IP地址就不行啊！是nat地址回流的问题吗？怎么解决
助理工程师
static (inside,outside) tcp interface ftp 1.1.1.1 ftp dns
后面加dns参数
static (inside,outside) tcp int ftp 192.168.10.187 ftp netmask 255.255.255.255 dns
好的我试一下 太谢谢了