ASA8.4的Inside区域同时访问DMZ公网地址和真实地址测试

最新推荐文章于 2022-10-24 11:07:49 发布
最新推荐文章于 2022-10-24 11:07:49 发布
阅读量382 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34259232/article/details/85094673
版权

一.测试拓扑

   R1---Outside----ASA842----Inside-----R2

                                    |

                                  DMZ

                                    |

                                  R3


二.测试思路

  利用ASA的twice nat实现访问DMZ的公网地址时转向DMZ的真实地址。

三.基本配置

A.R1:

interface FastEthernet0/0
 ip address 202.100.1.1 255.255.255.0
 no shut

B.R2:

interface FastEthernet0/0
 ip address 10.1.1.1 255.255.255.0

 no shut

ip route 0.0.0.0 0.0.0.0 10.1.1.10

C.R3:

interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0

 no shut

ip route 0.0.0.0 0.0.0.0 192.168.1.10

line vty 0 4

 password cisco

 login

D.ASA842:

interface GigabitEthernet0
 nameif Outside
 security-level 0
 ip address 202.100.1.10 255.255.255.0
 no shut
interface GigabitEthernet1
 nameif DMZ
 security-level 50
 ip address 192.168.1.10 255.255.255.0
 no shut
interface GigabitEthernet2
 nameif Inside
 security-level 100
 ip address 10.1.1.10 255.255.255.0
 no shut

四.ASA静态NAT,twice-NAT和策略配置

A.定义对象:

object network R3-dmz
 host 192.168.1.1
object network R3-outside
 host 202.100.1.8
object network Inside-net
 subnet 10.1.1.0 255.255.255.0

B.配置DMZ到Outside的静态NAT:

object network R3-dmz
    nat (DMZ,Outside) static R3-outside

C.配置inside到DMZ的的twice-nat:

nat (Inside,DMZ) source static Inside-net Inside-net destination static R3-outside R3-dmz

D.配置并应用outside接口策略:

-----Inside访问DMZ默认放行

access-list Outside extended permit ip any object R3-dmz
access-group Outside in interface Outside

五.验证:

A.从Ouside访问DMZ的公网地址:

R1#telnet 202.100.1.8
Trying 202.100.1.8 ... Open


User Access Verification

Password:
R3>show users
    Line       User       Host(s)              Idle       Location
   0 con 0                idle                 00:14:22   
*  2 vty 0                idle                 00:00:00 202.100.1.1

  Interface    User               Mode         Idle     Peer Address

R3>

B.从Inside访问DMZ的公网地址:

R2#telnet 202.100.1.8
Trying 202.100.1.8 ... Open


User Access Verification

Password:
R3>show users
    Line       User       Host(s)              Idle       Location
   0 con 0                idle                 00:16:37   
*  2 vty 0                idle                 00:00:00 10.1.1.1

  Interface    User               Mode         Idle     Peer Address

R3>

C.从Inside访问DMZ真实地址:

R2#telnet 192.168.1.1
Trying 192.168.1.1 ... Open


User Access Verification

Password:
R3>show users
    Line       User       Host(s)              Idle       Location
   0 con 0                idle                 00:17:03   
*  2 vty 0                idle                 00:00:00 10.1.1.1

  Interface    User               Mode         Idle     Peer Address

R3>


weixin_34259232
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内网访问DMZ映射后的公网地址--ASA8.0
weixin_34232363的博客
02-04 237
http://www.routsec.com/?p=80 一共三种方法: 1)      Alias command 2)      DNS re-write using Static command 3)      Hairpinning traffic with DNAT 前两种需要用域名访问,并且DNS服务器在外网,通过改写DNS记录,实际做了源地址转换,用DMZ接口地址访问DM...
Cisco ASA 5510 从inside访问dmz
weixin_33766168的博客
11-27 918
拓扑很简单. 一台5510配置了2个接口,1个inside口(10.0.0.0/8),1个dmz口(20.0.0.0/8),两个接口下各接了一台PC地址为10.0.0.2和20.0.0.2,配置如下: interface Ethernet0/2 nameif dmz security-level 50 ip address 20.0.0.1 255.0.0.0 ...
思科ASA防火墙8.4版本NAT的配置方法(转自新浪 刀光剑影)
weixin_33998125的博客
10-05 1282
思科ASA防火墙8.4版本NAT的配置方法ASA防火墙新版本8.4-工程实用手册注意,现在思科ASA防火墙已经升级到8.4,从8.3开始很多配置都有颠覆性的不同,特别是NAT配置很不一样,使用了object /object-group的新方式这里为了大家工程实施起来方便,特别总结了如下NAT应用,希望能够帮助大家。ASA 8.3 NAT 转化新语法:Topology :...
网络安全篇 ASA的管理访问-06
佐德将军的博客
01-05 1222
实验难度 3 实验复杂度 4 一、实验原理 ASA防火墙的管理方式有很多种,比如有Telnet、SSH、HTTPS、SNMP等,现在我们在进行实验的时候主要是使用Telnet的方式进行管理的。当然除了使用远程的方式进行管理外,我们也可以使用带外网管,在初始化设备时,是需要使用这种方式来管理配置的。ASA的带外网络管口的特点与建议如下: 1.可以配置任何一个接口成为专用的管理接口; 2.流量不能够穿越管理接口,但是可以到达; 3.需要应用管理访问策略来允许访问; ...
关于Cisco ASDM中配置STATIC NAT顺序的问题-By 年糕泰迪
qq_38461724的博客
06-29 665
在使用ASDM配置外网到内网的STATIC NAT时需要注意其配置的顺序,否则配置的该NAT策略不会生效,具体参看下图,测试结论在文末说明。 上图中的NAT配置只有三条,先配置了内网到外网的NAT(1),再配置了DMZ到外网的NAT(2),最后配置了外网到DMZ的NAT(3)。 以上NAT配置后,测试内网到外网,DMZ到外网的的连通性均正常,只有DMZ映射出去的www服务在外网无法测试访问(排除outside ACL和路由问题,已放行)。 在外网测试结果如下,无法联通。 接下来将外网到DMZ的映射条目调
实验四 cisco思科asa 5505 从内网访问DMZ服务器(真实防火墙).pdf
11-26
实验四 cisco思科asa 5505 从内网访问DMZ服务器(真实防火墙).pdf
实验四cisco思科asa5505从内网访问DMZ服务器(真实防火墙)收集.pdf
11-23
这篇实验指导了如何使用Cisco ASA 5505从内网访问DMZ服务器(真实防火墙)。实验的主要目标是创建VLAN、配置接口、配置内部转换地址池(NAT)、配置WWW和FTP服务器,并测试防火墙的连通性。 知识点一:VLAN的创建和...
实验四cisco思科asa5505从内网访问DMZ服务器(真实防火墙)[归纳].pdf
10-14
实验四cisco思科asa5505从内网访问DMZ服务器(真实防火墙)[归纳].pdf
ASA的内网访问DMZ服务器域名解决方案!!.doc
07-05
ASA 的内网访问 DMZ 服务器域名解决方案 在实际工作中,我们经常遇到公司把 WWW 服务器放在 ASA 的 DMZ 区域,要求内部用户也能通过 WWW 服务器的域名进行访问。这个问题也有很多的工程师来问,其实这个问题也是个...
思科ASA防火墙让内网用户能通过域名访问内网WEB服务器
海笑天涯
04-08 7407
当主机与某WEB服务器同在防火墙的INSIDE口,但DNS服务器只存在于公网中,(OUTSIDE口)且防火墙上对内网的WEB服务器进行了静态NAT映射以与外界通信并被外界DNS解析,为了防止本地用户在访问WEB服务器URL时被外网解析DNS为防火墙映射公网地址,需要对外网DNS reply进行修改。 1.用户穿过查询web服务器DNS 2.DNS回应给用户WEB服务器的公网地址 3.
inside、outsidedmz之间的访问
weixin_30716141的博客
09-22 710
 现有条件:100M宽带接入,分配一个合法的IP(222.134.135.98)(只有1个静态IP是否够用?);Cisco防火墙PiX515e-r-DMZ-BUN1台(具有Inside、OutsideDMZ三个RJ45接口)!请问能否实现以下功能:   1、内网中的所有用户可以防问Internet和DMZ中的WEB服务器。   2、外网的用户可以防问DMZ区的Web平台。   3、DMZ区...
【路由交换】思科5506防火墙三区域互通
最新发布
baidu_22774701的博客
10-24 4902
思科 5506 inside outside dmz 互通
思科asa5515端口映射_思科防火墙ASA端口映射
weixin_39759441的博客
12-21 632
ASA 端口映射:将DMZ区内的主机192.168.169.2映射到防火墙outside接口的interface地址:设置需要映射的主机object network server1host 192.168.169.2设置需要映射的端口ciscoasa(config)# object service 3389ciscoasa(config-service-object)# service tcp s...
利用ASA的Twice NAT解决内网无法访问映射后的公网地址
weixin_33809981的博客
07-30 910
一.概述:    默认情况下,不管是Inside还是DMZ区映射到Outside区的地址或服务,InsideDMZ区都无法通过映射后地址访问内部服务器。ASA8.3版本之后有一种新的NAT叫Twice-NAT,它可以在一个NAT语句中既匹配源地址,又匹配目标地址,并且可以对源地址、目标地址,端口号,三个参数中一~三个参数的转换。二.基本思路:A.Inside区映射到Outside区①Outsi...
思科防火墙ASA端口映射
weixin_30929195的博客
04-18 537
ASA 端口映射: 将DMZ区内的主机192.168.169.2映射到防火墙outside接口的interface地址: 设置需要映射的主机 object network server1 host 192.168.169.2 设置需要映射的端口 ciscoasa(config)# object service 3389 ciscoasa(config-service-object...
ASA 5525X NAT 问题
jinspo的专栏
11-19 4770
先上配置: DORM-ASA5525# sh run  : Saved : ASA Version 8.6(1)2  ! hostname DORM-ASA5525 enable password 3Kx6i0ZjebTlNnOn encrypted passwd uQKhs3FzwvMk3o3b encrypted names ! interface GigabitEthe
ASA防火墙 NAT新版老版的配置方法对比
weixin_33759269的博客
09-20 409
ASA 8.3 以后,NAT 算是发生了很大的改变,之前也看过8.4 的ASA,改变的还有×××,加入了Ikev2 。MPF 方法加入了新的东西,QOS 和策略都加强了,这算是Cisco把CCSP 的课程改为CCNPSecurity 的改革吧!拓扑图就是上面的,基本配置都是一样,地址每个路由器上一条默认路由指向ASA。基本通信没问题,关于8.3 以后推出了两个概念,一个...
ASA防火墙之NAT的实例配置
Stephen_jj的博客
04-30 9146
ASA防火墙之NAT的实例配置 关于nat的知识点我们在讲路由器的时候已经讲述过了,具体为啥配置NAT技术这里不再讲述,本篇讲述的关于ASA防火墙的各个NAT配置实例的分析,包括static NAT、network static NAT、static PAT、static NAT DNS rewrite、dynamic NAT、dynamic PAT、twice NAT。 动态NAT(dynami...
ASA NAT 新旧版本区别
weixin_33898876的博客
06-05 308
ASA 8.3 以后,NAT 算是发生了很大的改变,之前也看过8.4 的ASA,改变的还有×××,加入了Ikev2 。MPF 方法加入了新的东西,QOS 和策略都加强了,这算是Cisco把CCSP 的课程改为CCNPSecurity 的改革吧!拓扑图就是上面的,基本配置都是一样,地址每个路由器上一条默认路由指向ASA。基本通信没问题,关于8.3 以后推出了两个概念,一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值