查看:9425|回复：12
公司的主防火墙是 Cisco ASA 5520，现在公司业务需要，在内网设置一个DMZ主机群，网段是10.10.4.XXX，现在想把公司唯一的外网地址218.28.203.XXX的80端口（也就是www服务），映射的到10.10.4.2上，把218.28.203.XXX的1433端口（SQL服务）映射到10.10.4.3上，就是说在外网访问内网的时候，在网页（默认80端口）中打开218.28.203.XXX就会访问到内网的10.10.4.2上，而218.28.203.XXX：1433则访问到10.10.4.3上，具体应该怎么设置，我是做软件的，网络方向以及cisco的防火墙不怎么了解，我应该怎么IOS中，敲指令？越详细越好，先谢谢，各位专家大哥大姐！
& &这是现在防火墙的配置文件内容：
ciscoasa# show running
ASA Version 7.0(8)
hostname ciscoasa
enable password ********** encrypted
passwd ********* encrypted
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 218.28.203.XXX 255.255.255.224
interface GigabitEthernet0/1
nameif inside
security-level 90
ip address 10.10.0.1 255.255.255.0
interface GigabitEthernet0/2
nameif DMZ
security-level 50
ip address 10.10.4.1 255.255.255.0
interface GigabitEthernet0/3
no security-level
no ip address
interface Management0/0
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
time-range deny_www
periodic Friday 8:00 to Saturday 18:00
ftp mode passive
clock timezone GMT 8
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
access-list outacl extended permit ip any any
access-list outacl extended permit icmp any any
access-list no-nat-vlan10 extended permit ip 10.10.1.0 255.255.255.0 10.10.0.0 2
55.255.252.0
access-list no-nat-vlan20 extended permit ip 10.10.2.0 255.255.255.0 10.10.0.0 2
55.255.252.0
access-list no-nat-vlan30 extended permit ip 10.10.3.0 255.255.255.0 10.10.0.0 2
55.255.252.0
access-list out_to_out extended permit tcp any any eq www
access-list out_to_out extended permit tcp any any eq domain
access-list out_to_out extended permit udp any any eq domain
pager lines 24
logging buffered debugging
logging asdm informational
mtu outside 1500
mtu inside 1500
mtu management 1500
mtu DMZ 1500
no failover
asdm image disk0:/asdm-508.bin
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
access-group outacl in interface outside
route outside 0.0.0.0 0.0.0.0 218.28.203.129 1
route inside 10.10.2.0 255.255.254.0 10.10.0.2 1
route inside 10.10.1.0 255.255.255.0 10.10.0.2 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
username XXXXX password ******** encrypted
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 management
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet 10.10.0.2 255.255.255.255 inside
telnet 10.10.1.213 255.255.255.255 inside
telnet timeout 30
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 30
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd dns 202.102.224.68 202.102.227.68
dhcpd lease 3600
dhcpd ping_timeout 50
dhcpd enable management
class-map inspection_default
match default-inspection-traffic
policy-map global_policy
class inspection_default
&&inspect dns maximum-length 512
&&inspect ftp
&&inspect h323 h225
&&inspect h323 ras
&&inspect rsh
&&inspect rtsp
&&inspect esmtp
&&inspect sqlnet
&&inspect skinny
&&inspect sunrpc
&&inspect xdmcp
&&inspect sip
&&inspect netbios
&&inspect tftp
service-policy global_policy global
Cryptochecksum:f11cecd15c3f
怎么输入，越详细越好，先谢谢各位了，希望大家多多帮忙，谢谢！
本帖最后由 小侠唐在飞 于
09:46 编辑
白袍大法师
1、静态NAT，进行地址映射。
static (dmz,outside) tcp 218.28.203.XXX www&&10.10.4.2&&www netmask 255.255.255.255
static (dmz,outside) tcp 218.28.203.XXX 1433& &10.10.4.3&&1433 netmask 255.255.255.255
2、定义ACL，允许外网用户访问这两台服务器的WWW和1433
access-list 100 extended permit ip any any
直接允许所有权限也行，因为只做了WWW和1433，其他端口没做映射，外网无法访问不存在安全问题。
3、在端口上使用ACL。
access-group 100 in interface outside
本帖最后由 小侠唐在飞 于
20:41 编辑
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。& &?
你好:handshake ，版主，这个static指令我怎么打不上去，是特权模式，还是特定模式，这个设备我不太懂，你的QQ号是多少，我能向您求助一下吗&&我的是,先谢谢您！
白袍大法师
注意模式：
然后再配置。。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。& &?
小侠很牛:lol
输入的时候提示&&的 错误
ciscoasa(config)# static (dmz,outside) tcp 218.28.203.XXX www&&10.10.4.2&&www netmask 255.255.255.255
ERROR: Static PAT using the interface requires the use of the 'interface' keywor
d instead of the interface IP address
ciscoasa(config)#
白袍大法师
哈哈。。你这个只有一个地址，就不能用公网地址。。在这里interface 代表你公网的接口地址。。要改成：
static (dmz,outside) tcp& & interface& &www&&10.10.4.2&&www netmask 255.255.255.255
static (dmz,outside) tcp interface& && &1433& &10.10.4.3&&1433 netmask 255.255.255.255
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。& &?
哦&&谢谢&&也就是说&&必须有其他的公网地址才行吗，就只有一个公网IP不行，我理解的对吗
不好意思，你理解的不对
按小侠版主的命令就可以了，如下：
static (dmz,outside) tcp interface www&&10.10.4.2&&www netmask 255.255.255.255
static (dmz,outside) tcp interface&&1433& &10.10.4.3&&1433 netmask 255.255.255.255
还有一个问题，如果你的inside区域通过域名访问DMZ的服务器，那你可能就要杯具了，等遇到这个情况再说吧，哈哈
白袍大法师
引用:原帖由 cuter 于
22:52 发表
不好意思，你理解的不对
按小侠版主的命令就可以了，如下：
static (dmz,outside) tcp interface www&&10.10.4.2&&www netmask 255.255.255.255
static (dmz,outside) tcp interface&&1433& &10.10.4.3&&1433 netmask 255. ... 如果内网想通过域名访问和通过公网地址来访问都可以，但是做相应的数据。到时再讨论。。另开帖
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。& &?
助理工程师
厉害厉害&&学习了
中级工程师
一楼正解,顶起
很好的配置案例,最好由楼主总结一下最终的配置查看: 3061|回复: 15
这里大神多，特来请教，更换AC68U后无法正常群晖外网访问。
主题帖子积分
魔法学徒, 积分 47, 距离下一级还需 3 积分
本帖最后由 ASYS 于
20:31 编辑
& & 前段日子受不了手头的EA4500，遇上京东搞活动就入了AC68u。这几天没事安上后发现以前黑群用EA4500可以正常外网访问，只是经常半个小时后需要在群晖里重启下路由设置才可以正常外网访问 ，可是自从换上了68U后就一直外网访问不了，不管怎么设置都不能，感觉还是路由的端口转发好里没有设置好，换回4500后又可以正常使用！这几天天天在弄已经精疲力尽了。关于网络方面真的是小白一个。特来求助！求指导正常设置方法。
先放上EA4500可正常外网访问时的设置
4500.png (135.16 KB, 下载次数: 0)
20:25 上传
4500-1.png (110.26 KB, 下载次数: 0)
20:25 上传
特求以上设置在68U里如何设置，麻烦各位大神了
22.jpg (224.69 KB, 下载次数: 0)
20:26 上传
这是群晖路由扫描正确的图片。可这样也上不去感觉还是路由上没有设置对
11.jpg (51.15 KB, 下载次数: 0)
20:26 上传
主题帖子积分
中级魔法师, 积分 243, 距离下一级还需 257 积分
问一下楼主，你的EA4500可以实现外网唤醒群晖吗？怎么设置的？我的设置为DMZ主机也不行，只能内网唤醒，求指教
主题帖子积分
魔法学徒, 积分 47, 距离下一级还需 3 积分
本帖最后由 ASYS 于
20:40 编辑
问一下楼主，你的EA4500可以实现外网唤醒群晖吗？怎么设置的？我的设置为DMZ主机也不行，只能内网唤醒，求 ...
我没有实现外网唤醒，还没有开始研究呢，呵呵，其实这次换路由一个很重要的目标就是想外网唤醒！，只不过现在还没有研究到那一步就出现问题了
主题帖子积分
中级魔法师, 积分 411, 距离下一级还需 89 积分
群晖的DMS是默认应该是5000（HTTP）和5001（HTTPS）吧
主题帖子积分
中级魔法师, 积分 243, 距离下一级还需 257 积分
原来我用tp-link只要绑定arp就可以了
主题帖子积分
中级魔法师, 积分 243, 距离下一级还需 257 积分
端口转发7、8、9
主题帖子积分
中级魔法师, 积分 411, 距离下一级还需 89 积分
问一下楼主，你的EA4500可以实现外网唤醒群晖吗？怎么设置的？我的设置为DMZ主机也不行，只能内网唤醒，求 ...
这个问题我也有，原来可以用DS finder直接外网唤醒的。自从刷了X5.9（还是哪个版本开始的，忘了）就不能外网了，只能内网唤醒。现在只能用aicloud唤醒
主题帖子积分
魔法学徒, 积分 47, 距离下一级还需 3 积分
群晖的DMS是默认应该是5000（HTTP）和5001（HTTPS）吧
是的，默认就可以，在EA4500上就上面设置二个就可以了，换这个这几天就一直没上去。我80转82就是为了照片可以外网访问 。
主题帖子积分
魔法学徒, 积分 47, 距离下一级还需 3 积分
原来我用tp-link只要绑定arp就可以了
方便的话给个设置，我手头上还有一个TP。
主题帖子积分
魔法学徒, 积分 47, 距离下一级还需 3 积分
端口转发7、8、9
这个7.8.9是什么，我小白一个，麻烦详细些，谢谢！
主题帖子积分
中级魔法师, 积分 411, 距离下一级还需 89 积分
是的，默认就可以，在EA4500上就上面设置二个就可以了，换这个这几天就一直没上去。我80转82就 ...
捕获.PNG (4.13 KB, 下载次数: 0)
20:48 上传
我外网一直用HTTPS上DSM，所以这样设置的，因为没有映射到443，访问的时候地址后面要加端口
你用HTTP的话，改下80和5000应该就好了吧
还有photo是UDP 82吗？貌似默认是TCP吧，在photo的设置里路由器端口设置下看看
主题帖子积分
魔法学徒, 积分 47, 距离下一级还需 3 积分
本帖最后由 ASYS 于
21:07 编辑
我外网一直用HTTPS上DSM，所以这样设置的，因为没有映射到443，访问的时候地址后面要加端口
你用HTTP ...
我看EA4500里设置的是UDP，就以为在这上面也是，所以就照着来了，明天回去试试，感谢感谢！还有443要怎么设置 ？
但是你外网PHOTO可以直接访问吗？后面不用加82转发吗？就是不会设置才照着写呀，呵呵，端口转发这个真的是不懂，都不知道那个口应该给哪个用
要是转发的话，问下哪个端口可以用？数字从多少到多少？
主题帖子积分
中级魔法师, 积分 243, 距离下一级还需 257 积分
ASYS 发表于
方便的话给个设置，我手头上还有一个TP。
我的tp-link这样设置就可以了。然后要固定群晖地址，绑定arp。
(39.92 KB, 下载次数: 3)
19:43 上传
主题帖子积分
中级魔法师, 积分 411, 距离下一级还需 89 积分
我看EA4500里设置的是UDP，就以为在这上面也是，所以就照着来了，明天回去试试，感谢感谢！还有443要怎么 ...
比如你的外网地址是，NAS的内网ip是192.168.1.102，你要访问NAS的DSM，因为DSM的端口是5000，那么你在端口转发里要填通信端口5000，本地IP 192.168.1.102，本地通信端口5000，通信协议TCP
那么你在外网就能用:5000这个地址访问了
如果你通信端口范围填80，那么可以直接用访问NAS的DMS，因为HTTP的默认端口就是80。但是可能会和路由的aicloud冲突吧（也许你要用的话）
photo的默认端口也是TCP 80，也可以自己在photo station的设置里改一下
自己把需要的功能的端口转发设置下就行
EA4500之所以能用，只是把0-5000之间的所有端口都设置转发到NAS了而已，开了太多端口反而不安全。。。
主题帖子积分
魔法学徒, 积分 47, 距离下一级还需 3 积分
比如你的外网地址是，NAS的内网ip是192.168.1.102，你要访问NAS的DSM，因为DSM的端口是 ...
哦，彻底明白了，感谢您的帮忙，谢谢谢
主题帖子积分
魔法学徒, 积分 47, 距离下一级还需 3 积分
我的tp-link这样设置就可以了。然后要固定群晖地址，绑定arp。
感谢您的帮忙 ，谢谢了
DDOS纪念勋章
DDOS纪念勋章
Powered by