मैं बाहरी आईपी पर अपने आंतरिक सर्वर तक कैसे पहुंच सकता हूं?

हम अपने सिस्को 5505 को कॉन्फ़िगर करने की कोशिश कर रहे हैं, और यह एएसडीएम के माध्यम से किया गया है।

एक बड़ी समस्या है जिसे हम हल करने में सक्षम नहीं हैं, और वह यह है कि जब आप अंदर से बाहर की ओर जाते हैं और फिर से वापस अंदर जाते हैं।

उदाहरण के लिए, हमारे पास "अंदर" एक सर्वर है और हम चाहते हैं कि यदि हम अंदर हैं या यदि हम बाहर हैं, तो हम उसी सर्वर के साथ इस सर्वर तक पहुँच सकते हैं।

समस्या एक नियम को जोड़ रही है जो अंदर से बाहर तक और फिर वापस फिर से यातायात की अनुमति देगा।

ASA फ़ायरवॉल ट्रैफ़िक को रूट नहीं कर सकता है। आपको बाहरी पते के खिलाफ अंदर के पते को मास्क करना होगा।

समाधान 1: स्थिर एनएटी के साथ डीएनएस डॉक्टरिंग

मान लीजिए कि आपकी बाहरी वेबसाइट का आईपी पता 1.2.3.4 है, जो फिर से पोर्ट-फॉरवर्ड (या सीधे NAT'ed) आंतरिक आईपी पते 192.168.0.10 पर है। DNS डॉक्टरिंग के साथ, निम्नलिखित होगा:

1. अंदर के अनुरोधों पर ग्राहक http://www.companyweb.com , जो मूल रूप से 1.2.3.4 में अनुवाद करता है
2. एएसए DNS उत्तर पैकेट को स्वीकार करता है, और 192.168.0.10 के साथ ए-रिकॉर्ड की जगह लेता है
3. ग्राहक बहुत खुश हो जाता है, क्योंकि अब वह कंपनी की वेब साइट को खोल सकता है :-)

आप इसे कैसे सक्षम करते हैं, इस बारे में अधिक विस्तृत जानकारी के लिए: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

समाधान 2: आंतरिक DNS सर्वर

यह एक उपयोगी है यदि आपके पास केवल एक बाहरी आईपी है, और आप इस आईपी को विभिन्न सर्वरों पर कई आंतरिक सेवाओं में पोर्ट करते हैं (मान लीजिए कि पोर्ट 80 और 443 192.168.0.10 पर जाता है, पोर्ट 25 192.168.0.11 आदि पर जाता है)।

इसके लिए एएसए पर कोई कॉन्फ़िगरेशन परिवर्तन की आवश्यकता नहीं है, लेकिन इसके लिए आपको आंतरिक DNS सर्वर पर अपने बाहरी डोमेन की नकल करने की आवश्यकता होगी (सक्रिय निर्देशिका ने इसे बनाया है)। आप अभी अपने पास ठीक वैसे ही रिकॉर्ड बनाते हैं, जो आंतरिक सेवाओं पर केवल आंतरिक आईपी के साथ हैं।

"समाधान" 3: सार्वजनिक आईपी के साथ DMZ इंटरफ़ेस

मैं इस पर अधिक विवरण में नहीं जा रहा हूं, क्योंकि इसके लिए आपको अपने एएसपी से रूट किए गए आईएसपी से आईपी एड्रेन्स का सबनेट प्राप्त करना होगा। यह इन दिनों IPv4 भुखमरी के साथ बहुत कठिन है।

जैसा कि अन्य समान प्रश्न यहां एक संदर्भ के साथ डुप्लिकेट के रूप में चिह्नित किए जा रहे हैं, मैं 4 वें विकल्प के साथ @pauska द्वारा उत्कृष्ट उत्तर को पूरक करना चाहता हूं।

समाधान 4: NAT हेयरपिनिंग के माध्यम से ट्रैफ़िक को रूट करना

एक सिस्को PIX / ASA उपकरण पर एक इंटरफ़ेस के माध्यम से ट्रैफ़िक को वापस करना, जैसे कि जब कोई nat: ed क्लाइंट किसी nat तक पहुँचता है: इसके सार्वजनिक IP के माध्यम से ed सर्वर को Cisco द्वारा NAT हेयरपिनिंग कहा जाता है।

यह अनिवार्य रूप से नैट और पोर्ट फ़ॉरवर्डिंग के लिए समान कॉन्फ़िगरेशन पैरामीटर का उपयोग करता है, लेकिन इस कमांड के अतिरिक्त के साथ:

same-security-traffic permit intra-interface

और सर्वर के अंदर-से-अंदर ट्रैफ़िक के लिए दूसरा स्थिर मैपिंग:

static(inside,inside) i.i.i.i x.x.x.x

इसे दो-इंटरफ़ेस डिज़ाइन के लिए यहाँ विन्यास उदाहरण के साथ विस्तार से वर्णित किया गया है: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

और यहां तीन-इंटरफ़ेस डिज़ाइन के लिए एक गंतव्य NAT विकल्प है: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtun#solution2

आप बाहरी इंटरफ़ेस को अंदर से पिक्स / एएसए पर एक्सेस नहीं कर सकते। आपको सर्वर के बाहरी पते से आंतरिक पते के लिए DNS अनुरोधों को पुनर्निर्देशित करना चाहिए।