Nov*_*vox 5 cisco nat ios loopback
正如我在此处询问并在此处重复的那样,似乎 NAT Hairpinning 是我正在寻找的答案,以允许内部服务器通过 ASA 环回以访问外部 IP(不使用 DNS Doctoring)。但是,这些帖子中提供的说明以及此处http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2似乎并未涵盖 IOS 8.3+ 上的 NAT Hairpinning(我是运行 9.1) 9.1 甚至不再有静态命令(本身)。
我如何在 IOS 8.3+(特别是 Cisco ASA 5505 上的 9.1(2))中 NAT 发夹。
谢谢!
这是我在 Cisco 的支持站点上发布的内容...也许附加信息使我的情况更加清楚
我似乎无法让 nat hairpinning 工作......互联网上的大多数说明都表明如何使用 8.3 之前可用的命令来做到这一点。
我尝试了以下方法:
same-security-traffic permit intra-interface
asa-box(config-network-object)# object network my-inside-address-obj
asa-box(config-network-object)# nat (inside,inside) static my-outside-address-obj
这不起作用。
然后我补充说:
access-list hairpin_allow extended permit tcp object Internal_NAT_Range object External_NAT_Range
和
access-group hairpin_allow in interface inside
这也不起作用(试图在这里表现出应有的勤奋......)。
然后我尝试:
nat (inside,inside) source static Internal_NAT_Range Internal_NAT_Range destination static External_NAT_Range External_NAT_Range
还是不行。
最后,我执行这些步骤(如看到这里):“9.为了避免数据包丢弃由于的路由的内部存在的的不对称性,我们需要ASA绕过这个特殊的交通状态检测对于这一点,我们需要。配置以下内容:
ASA(config)#access-list tcp_bypass extended permit tcp object Internal_NAT_Range object External_NAT_Range !--- 配置访问列表以指定 TCP 流量!--- 需要绕过检查以提高性能。
!--- 配置类映射并为 !--- 类映射指定匹配参数以匹配感兴趣的流量。
ASA(config)#class-map tcp_bypass ASA(config-cmap)#description "绕过状态防火墙的 TCP 流量" ASA(config-cmap)#match access-list tcp_bypass
!--- 配置策略映射并指定类映射!--- 在类映射的此策略映射中。
ASA(config-cmap)#policy-map tcp_bypass_policy ASA(config-pmap)#class tcp_bypass
!--- 使用 set connection advanced-options tcp-state-bypass !--- 命令启用 TCP 状态绕过功能。
ASA(config-pmap-c)#set connection advanced-options tcp-state-bypass
!--- 使用 service-policy policymap_name [ global | interface intf ] !--- 全局配置模式下的命令,以便在所有接口或目标接口上全局激活策略映射!
ASA(config-pmap-c)#service-policy tcp_bypass_policy 里面"
再说一遍,没什么……
我的配置(干净/在上述任何一项之前)如下...
...
object network External_NAT_Range
range x.x.56.3 x.x.59.255
object network Internal_NAT_Range
range 172.17.56.3 172.17.59.255
object network InternalIPs
subnet 172.17.56.0 255.255.248.0
object network VpnIPs
subnet 172.17.63.0 255.255.255.0
object network InternalIPs_OutOnly
range 172.17.60.1 172.17.62.254
...
nat (inside,outside) source static InternalIPs InternalIPs destination static VpnIPs VpnIPs no-proxy-arp route-lookup description Un-Nats VPN IPs
nat (inside,outside) source dynamic InternalIPs_OutOnly interface description Allows remaining interior network to access the Internet
!
object network Internal_NAT_Range
nat (inside,outside) static External_NAT_Range net-to-net
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 x.x.56.1 1
...
我只想能够从内部 IP访问外部资源,例如http://xx56.5,例如 172.17.56.8
我尝试使用 DNS 篡改。配置要简单得多,并且有效,但是当 PTR 请求来自互联网时,DNS Doctoring 似乎也将出站响应转换为反映我的内部 IP,这显然是错误的...
思科专业人士的任何帮助将不胜感激!
谢谢!
作为一名过时的前 PIX/ASA 管理员,我当然发现这是不可抗拒的。我没有设备(但是运行 6.3 的旧 PIX 506E)来尝试它,所以它有点完全蹩脚。但这是我在 9.1 的在线文档中以及通过一些随机的谷歌搜索找到的。帖子底部提供了参考链接。所以手指交叉...
假设所有其他配置都正确,例如路由、访问列表等,您仍然需要使用该命令
same-security-traffic permit intra-interface
为了使从内部客户端到外部映射地址的流量能够重新转换为内部服务器地址,即使其“发夹”。
要将内部地址 iiii 端口映射到外部地址 xxxx,您可以在 8.3 之前使用以下命令
static (inside,inside) x.x.x.x i.i.i.i
为了允许使用从 dns 获取的外部地址将内部主机的 nat 发夹连接到内部服务器。这与常规的“非发夹”语法不同,后者是
static (inside,outside) x.x.x.x i.i.i.i
当然,它也会允许外部客户端使用公共 IP 调用服务器。
在版本 8.3 及更高版本中,此语法已被重写,并且 ASA 的相应发夹端口映射指令将如下所示:
asa-box(config)# object network my-outside-address-obj
asa-box(config-network-object)# host x.x.x.x
asa-box(config-network-object)# object network my-inside-address-obj
asa-box(config-network-object)# host i.i.i.i
asa-box(config-network-object)# nat (inside,inside) static my-outside-address-obj
这也可以通过常规的“非发夹”指令来补充。
这似乎是我能找到的唯一真正的区别,但我当然很好奇它在实践中是如何运作的。
我在这里找到了端口地址转换的 9.1 命令语法(即对应于旧的静态命令): http: //www.cisco.com/en/US/docs/security/asa/asa91/configuration/firewall/nat_objects.html #wp1106703
我发现了一个绝对出色的发夹语法历史指南,显示了在不同版本中配置的相同示例设计: http://nat0.net/cisco-asa-hairpinning/
祝你好运!
| 归档时间: |
|
| 查看次数: |
5559 次 |
| 最近记录: |