Cómo alojar un servidor en la zona DMZ de un ASA

8

Tengo un ASA5525-X con 9.1.2. En él hay varias interfaces, pero principalmente estoy mirando:

(subredes falsas)

  • dentro de 10.0.0.0/24, nivel de seguridad 100
  • fuera 10.0.200.0/24, nivel de seguridad 0
  • DMZ 10.0.100.0/24, nivel de seguridad 50

Tengo un servidor DNS en DMZ, 10.0.100.1 al que puedo acceder desde adentro sin problemas. Sin embargo, quiero que aparezca como 10.0.200.95 (no una IP real para este ejemplo) para las personas en Internet. Tengo lo que pensé que era necesario para que esto funcione, pero cuando lo pruebo, los paquetes están siendo descartados por la acl predeterminada.

Piezas de configuración pertinentes:

interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.0.200.194 255.255.255.192 
interface GigabitEthernet0/6
 nameif DMZ
 security-level 50
 ip address 10.0.100.254 255.255.255.0 
interface GigabitEthernet0/7
 nameif inside
 security-level 100
 ip address 10.0.0.254 255.255.255.0 

object network DMZ-DNS-Server-1
 host 10.0.100.1

nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static VPN VPN no-proxy-arp route-lookup
nat (inside,outside) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,outside-backup) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (inside,DMZ) source static Company-MPLS-Network-Group Company-MPLS-Network-Group destination static DMZ DMZ no-proxy-arp route-lookup
nat (DMZ,outside) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup
nat (DMZ,outside-backup) source static DMZ DMZ destination static Site-Site-VPN Site-Site-VPN no-proxy-arp route-lookup

object network DMZ-DNS-Server-1
 nat (DMZ,outside) static 10.0.200.195 net-to-net

nat (inside,outside-backup) after-auto source dynamic any interface
nat (inside,outside) after-auto source dynamic any interface
nat (DMZ,outside) after-auto source dynamic any interface
nat (DMZ,outside-backup) after-auto source dynamic any interface


access-list traffic-in-outside extended permit tcp any host 10.0.200.195 eq domain 
access-list traffic-in-outside extended permit udp any host 10.0.200.195 eq domain 
access-group traffic-in-outside in interface outside

¿Algunas ideas?

some_guy_long_gone
fuente
Se han agregado el resto de las declaraciones nat. La copia de seguridad externa es una segunda conexión a Internet de otro proveedor y es la alternativa para el acceso a Internet y VPN, pero no está relacionada con este servidor (no se utiliza ninguna IP estática de ese lado).
some_guy_long_gone
disculpas, creo que
edité

Respuestas:

8

Cambie su ACL para hacer referencia a la dirección real del servidor (10.0.100.1) en lugar de la dirección traducida (10.0.200.195). Este es otro cambio en 8.3+. Las ACL coinciden en direcciones reales.

Santino
fuente
1

Deberá configurar un NAT estático para hacer esto, ya que 8.3+ esto ha cambiado ligeramente, en 9 querrá hacerlo como:

object network STATIC_NAT
 host 10.0.100.1
 nat (DMZ,outside) static 10.0.200.95 
David Rothera
fuente
Eso está en la configuración que compartí. El ASA lo dividió en dos declaraciones de red de objetos con el mismo nombre pero se configuró igual que usted. Mi configuración de la lista muestra "red a red", pero originalmente la configuré sin esa pieza y todavía no funcionó.
some_guy_long_gone
Ah ok, ¿has intentado usar el packet-tracercomando para emular un paquete que pasa por el ASA para ver dónde está fallando?
David Rothera
Sí, indica que la acl predeterminada lo descarta, lo que parece implicar que no está llegando a la acl que creé para el puerto 53 en esa IP.
some_guy_long_gone