本文主要是介绍ASA防火墙如何配置alias,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
今天东拼西凑些资料,也是我今天调试中遇到的问题。
之前有个人问过我说内网有台服务器,没有DNS服务器,在内网可以用内网IP访问,但是无法用公网IP和域名访问,在外网用公网IP访问是没问题的。怎么处理?
我给他的两种解决方案是:
内网服务器:192.168.100.2 公网IP:218.222.121.16
1,static (inside,outside) tcp interface 3342 192.168.100.2 80 netmask 255.255.255.255 dns
access-list outside-in extended permit tcp any host 212.222.121.16 eq 3342
access-group outside-in in interface outside
2,Alias (inside) 192.168.100.2 212.222.121.16 255.255.255.255
前提在inside接口禁用了ARP代理功能,sysopt noproxyarp inside
这个特性的思想就是内网用户向外网用户发送DNS查询,外网DNS会给内网用户回复,如果防火墙上面加了DNS参数,防火墙就会监控DNS回包,如果发现DNS回包的地址是映射到内网了,那么防火墙就会修改DNS回包把answer的地址改为内网的地址。
我前几天也遇到这个问题,最后发现是我的alias做错了。通过公网dns访问自己内部的web服务器的这种模式有两种模式,一种是WEB服务器放在自己的内网,一种是 web服务器防在自己的DMZ区,两种alias用法稍微有不一样。
如果是在内网的话,用法如下
alias (inside) 服务器内网地址 服务器公网地址
如果是在dmz区,用法如下
alias (inside) 服务器外网地址 服务器DMZ地址
http://www.cisco.com/en/US/docs/security/asa/asa83/configuration/guide/nat_objects.html
这篇关于ASA防火墙如何配置alias的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
