Board logo

标题: 理解Cisco ASA防火墙上的alias命令 [打印本页]

作者: yuyang911220    时间: 2016-8-15 10:04     标题: 理解Cisco ASA防火墙上的alias命令

关于在DMZ或INSIDE区服务器发布的问题,从互联网访问inside或dmz的服务器都很正常,从inside可以访问互联网,但就是不能通过互联网域名访问inside和dmz的服务器。在CiscoASA防火墙中使用alias命令可解决此问题。

Alias的两个功能:
1、利用DNS Doctoring修正外部DNS服务器回复:
      利用DNS Doctoring,ASA 将"改变"外部DNS响应的地址到另一个IP,这个地址不同于DNS服务器上真实提供的域名-IP记录,此功能实现从内部客户端通过内部IP地址连接到内部服务器上。

2、转换目标IP地址的dnat(Destination NAT)到另一个IP:
     用dnat改变应用程序的标地址,此功能实现从内部客户端调用外部地址访问周边网络(例如DMZ区),不修改DNS回复,用DNSDoctoring转换内部地址。


例1: web服务器地址10.10.10.10,对应的外部IP为99.99.99.99
      注意:DNS在防火墙外.在dos提示窗输入nslookup验证一下DNS服务器是如何解析你的web服务器的外部IP,客户端PC应该返回的是内部地址10.10.10.10,因为DNS请求经过ASA已经被它改变了。如果你为DNSfixup使用alias命令,要让DNSfixup正常工作,需禁止proxy-arp功能,用列命令禁止proxy-arp:
      sysopt noproxyarpinside
      如果你想用10.10.10.25这台机器通过www.mydomain.com访问你的web服务器,只需要实现以下alias命令:
      alias (inside) 10.10.10.10 99.99.99.99 255.255.255.255

设置inside端口的DNSDoctoring,一旦监测到发往inside端口的DNS,回复里IP内容为99.99.99.99,则用10.10.10.10替换掉,再发到客户端PC。

接下来,必须为web服务器做静态地址转换,为所有人提供web服务器的80端口访问权(http):
static(inside,outside) 99.99.99.9910.10.10.10 netmask 255.255.255.255
此命令建立web服务器真实地址10.10.10.10和外部地址99.99.99.99的转换。

用access list命令赋予访问权:
access-list 101 permit tcp any host99.99.99.99 eq www
access-group 101 in interfaceoutside
允许来自outside的任何用户访问web服务器的80端口。

用目标NAT(dnat)转换DMZ地址,如果web服务器在ASA的DMZ区,必须用alias作Destination NAT(dnat)。

例2:web服务器在DMZ的地址为192.168.100.10,外部地址99.99.99.99。要用dnat转换99.99.99.99为web服务器的真实地址192.168.100.10,从inside客户端发出的DNS请求和回复不会改变,从inside的PC上看来就象访问外部地址99.99.99.99一样,所以DNS回复并未被ASA修改。

想从10.10.10.0/24网络通过外部域名www.mydomain.com访问DMZ里的web服务器,并不想让ASA修改我们的DNS回复,让ASA作dnat把外部IP地址转为DMZ里web服务器真实地址192.168.100.10。

注意:当然了,如果从inside访问dmz里的192.168.100.10都不能够,光作这个也是不能访问的,前提是inside用户能够外访,也能访问到DMZ内部地址:
      global (outside) 1interface
      global (dmz) 1interface
      nat (inside) 1 00

如果不想利用interface占的地址,也可以另指定你相应端口网络里的地址:
    global(outside) 1 99.99.99.3
      global (dmz) 1192.168.100.2
      nat (inside) 1 00

现在,用alias命令作dnat:
      alias(inside)99.99.99.99 192.168.100.10 255.255.255.255

此句设置dnat,DNS回复不会被ASA修改,因为外部地址99.99.99.99不匹配第二个地址(192.168.100.10),由于发往客户端的DNS回复里有与目标地址99.99.99.99匹配,请求会“dnat-ed”。
      注意::此例中IP地址与上面DNS Doctoring的例子中顺序相反。

接下来做web服务器的静态转换,允许所有人访问其80端口(http):
       static(dmz,outside)99.99.99.99 192.168.100.10 netmask 255.255.255.255
     建立dmz区服务器地址192.168.100.10与外部地址99.99.99.99间静态转换。

赋予访问权,access list命令如下:
       access-list 101permit tcp any host 99.99.99.99 eq www
      access-group 101 in interfaceoutside
     允许所有来自outside用户访问web服务器80端口。

配置中的说明:
      1)alias命令里的interface应该是发出请求的客户端所在那个端口.。
      2)如果DMZ里也有客户端PC,需专门为dmz设置的alias命令 (也就是DNSdoctoring),例如:你想让DMZ的其他客户端用外部域名访问DMZ的web服务器,其实做法已跟例1没什么区别,为DMZ增加一条alias,做一个DNSDoctoring修改它DNS回复就行了:
       alias (dmz) 192.168.100.10 99.99.99.99 255.255.255.255
       3)如果ASA有更多的端口,可以为不同的端口作多条alias命令。




欢迎光临 电子技术论坛_中国专业的电子工程师学习交流社区-中电网技术论坛 (http://bbs.eccn.com/) Powered by Discuz! 7.0.0