CISCO ASA5504 防火墙如何设置内网访问自己的外网IP
如何查看我的IP地址,教你两个简单的方法
IP:网络之间互连的协议
典型的nat回流问题,例如:
拓扑如上所示:内网web服务器server内网地址:192.168.1.254 在出口路由上即RT-NAT上做了地址映射为172.16.0.3 ,现在ISP上有个loopback0模拟外网用户,访问web服务器正常(本文用端口23模拟),如下:
内网用户用内部地址直接访问,没问题:
内网用户用服务器映射后的公网地址访问,不通:
查看防火墙链接如下:flag为saA,即内网pc给服务器发送了sys但没有收到对端的syn+ack报文。
由此可看出是TCP三次握手出现了问题,接下来我们PC的F0/0上抓包,结果如下:
可以看出第一次是pc(192.168.1.2)给服务器(映射后公网地址为172.16.0.3)发了syn,之后,数据包穿越防火墙到达外网RT,外网RT收到报文后转发给了内网192.168.1.254的web服务器真是地址,web服务器查看原地址为同一网段,目的可达,因此直接将数据包转发给PC终端,即抓包显示的第二条,s:192.168.1.154 d:192.168.1.2 报文syn+ack。这就证实了防火墙的链接为什么是saA了,随后pc给web服务器发送了rst报文,即第三行。因为,在pc看来,它并没有给192.168.1.254发送syn报文,所以它重置了会话报文。下面几行就是TCP重传机制了。
至此问题清楚了。
解决方案列举两种:1、如果内网有自己的DNS服务器,直接在DNS服务器上做指针,例如:www.a.com 指向192.168.1.254内网真是地址即可。如果内网没有DNS服务器可直接访问IP或者更改写个脚本在AD环境中分发并执行host批处理。但改host对于移动办公的终端比较麻烦,在公司办公时可以用host直接访问,但出了公司就无法解析了,需要把host改回来,用公网DNS解析访问公网。推荐在内部搭建DNS服务器。
2、在墙上做策略NAT。在此不在赘述。
详细的可以去我博客:网页链接
1.在公网与内网对外映射后加上DNS
static (dmz,outside) 72.71.13.34 192.168.10.100 netmask 255.255.255.255 dns
2.通过ACL开通对面只允许指定的端口访问,提高安全性
access-list 101extended permit tcp any host 72.71.13.34 eq web
这个是数据回流问题。除了做80口映射,还要做dns map,路由器支持的话ip host也加上
感觉很奇怪,按理说应该可以,Untrustt Untrust 的策略做了没
4.北师程甲本
廉哑绿汀: 方法如下: 第一步:管理接口配置IP地址,即为其配置命令: 1、命令语句:#interface Management0/0 //进入管理接口 2、命令语句:# nameif guanli //接口名 3、命令语句:#ip address 192.168.1.1 255.255.255.0 //IP地址 第二步:安全级别等参数 命令语句:# security-level 100 //安全级别 通过以上两步参数设置,即可成功添加防火墙设备.
于洪区19655688364: 如何修改cisco asa 5505防火墙的密码? - ?
廉哑绿汀: 1:通过Console口连接设备 2:加电并启动 3:显示启动信息的时候,按“Esc”键,进入ROMMON模式 4:选择不加载startup-config文件启动,在RONNON模式下输入 ronnon #1> confreg设备会显示当前配置注册值,并且会提示“是否要更...
于洪区19655688364: cisco 防火墙 购买,PIX还是ASA,具体什么型号 - ?
廉哑绿汀: ASA 5500系列的,不过1W确实少了点,不过你可以考虑2手的.我记得5510好像2w左右,具体你可以联系那些代理商或者百度.ASA5500 系列功能还是很全面的
于洪区19655688364: 思科asa防火墙的静态pat的命令是什么 把运营商的网线直接插防火墙上配置那个公网地址 - ?
廉哑绿汀: 运营商会给你一个IP地址、掩码和网关,IP地址和掩码就配置到outside接口,写条默认路由指向网关:route outside 0.0.0.0 0.0.0.0 x.x.x.x 再配置PAT,命令如下: global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 内网就可以上网了 以上是8.3以前的版本,你show version查看一下ASA防火墙的版本,要是8.3或8.3以后的版本就不是这个命令了.
于洪区19655688364: cisco asa 5510 如何设置防火墙管理地址 - ?
廉哑绿汀: 对于防火墙的管理是通过给管理接口配置IP地址及安全级别等参数,下面即为其配置命令:#interface Management0/0 //进入管理接口# nameif guanli //接口名# security-level 100 //安全级别#ip address 192.168.1.1 255.255.255.0 //IP地址 这样配置后就可以通过其他设备访问防火墙了.
于洪区19655688364: cisco ASA 防火墙系列问题 - ?
廉哑绿汀: ASA有几个特点:1.就是你内网接口下的网段是ping不通outside口地址的2.并且,你外网的网段也是绝对ping不通你inside接口的地址的 哪怕你写ACL permit ip any any都是没用的.这个是防火墙的算法导致的,所以你这个需求是没有办法实现的 并且outside口是不允许使用telnet来登陆的,但是允许使用SSH登陆
于洪区19655688364: 思科 ASA 5505 防火墙如何连接??
廉哑绿汀: ASA防火墙eth0接口定义为outside区,Security-Level:0,接Router F0/0;ASA防火墙eth1接口定义为insdie区,Security-Level:100,接Switch的上联口;
于洪区19655688364: 谁对这个比较了解 Cisco ASA 5500 Series Adaptive Security Appliances - ?
廉哑绿汀: ASA,Cisco ASA 5500 Series Adaptive Security Appliances(思科ASA 5500系列自适应安全设备) 是cisco公司的一种安全产品.(俗称思科ASA防火墙)ASA作为PIX的升级产品 是一款集 防火墙、入侵检测(IDS)、VPN集中器于一体的安全产品HS CODE :85176239003C参考:http://www.cisco.com/web/dofc/1235724.pdf可百度查询“Cisco 3C证书以及入网许可证查询方法”仅供参考
于洪区19655688364: 思科ASA5520防火墙初始配置的时候硬件连线如何连接 然后到时候配置完成开始使用的时候和路由器等如何连接 - ?
廉哑绿汀: 1、用防火墙随机带的console线(即蓝色扁平的线)链接防火墙的console口去配置防火墙2、配置完成后,用网线把防火墙和路由器连接起来
于洪区19655688364: 思科ASA5505防火墙配置telnet - ?
廉哑绿汀: 应该还需要配置passwd密码 最好再加enable password密码 如果还是不行,再加aaa authentication telnet console LOCAL username cisco pass cisco 要telnet防火墙,第一是路由可达,,第二是防火墙允许该网段访问
