ASA8.4的Inside区域同时访问DMZ公网地址和真实地址测试

一.测试拓扑

R1---Outside----ASA842----Inside-----R2

|

DMZ

|

R3

二.测试思路

利用ASA的twice nat实现访问DMZ的公网地址时转向DMZ的真实地址。

三.基本配置

A.R1:

interface FastEthernet0/0
 ip address 202.100.1.1 255.255.255.0
 no shut

B.R2:

interface FastEthernet0/0
 ip address 10.1.1.1 255.255.255.0

no shut

ip route 0.0.0.0 0.0.0.0 10.1.1.10

C.R3:

interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0

no shut

ip route 0.0.0.0 0.0.0.0 192.168.1.10

line vty 0 4

password cisco

login

D.ASA842:

interface GigabitEthernet0
 nameif Outside
 security-level 0
 ip address 202.100.1.10 255.255.255.0
 no shut
interface GigabitEthernet1
 nameif DMZ
 security-level 50
 ip address 192.168.1.10 255.255.255.0
 no shut
interface GigabitEthernet2
 nameif Inside
 security-level 100
 ip address 10.1.1.10 255.255.255.0
 no shut

四.ASA静态NAT,twice-NAT和策略配置

A.定义对象:

object network R3-dmz
 host 192.168.1.1
object network R3-outside
 host 202.100.1.8
object network Inside-net
 subnet 10.1.1.0 255.255.255.0

B.配置DMZ到Outside的静态NAT:

object network R3-dmz
    nat (DMZ,Outside) static R3-outside

C.配置inside到DMZ的的twice-nat:

nat (Inside,DMZ) source static Inside-net Inside-net destination static R3-outside R3-dmz

D.配置并应用outside接口策略:

-----Inside访问DMZ默认放行

access-list Outside extended permit ip any object R3-dmz
access-group Outside in interface Outside

五.验证:

A.从Ouside访问DMZ的公网地址:

R1#telnet 202.100.1.8
Trying 202.100.1.8 ... Open

User Access Verification

Password:
R3>show users
    Line       User       Host(s)              Idle       Location
   0 con 0                idle                 00:14:22   
*  2 vty 0                idle                 00:00:00 202.100.1.1

Interface    User               Mode         Idle     Peer Address

R3>

B.从Inside访问DMZ的公网地址:

R2#telnet 202.100.1.8
Trying 202.100.1.8 ... Open

User Access Verification

Password:
R3>show users
    Line       User       Host(s)              Idle       Location
   0 con 0                idle                 00:16:37   
*  2 vty 0                idle                 00:00:00 10.1.1.1

Interface    User               Mode         Idle     Peer Address

R3>

C.从Inside访问DMZ真实地址:

R2#telnet 192.168.1.1
Trying 192.168.1.1 ... Open

User Access Verification

Password:
R3>show users
    Line       User       Host(s)              Idle       Location
   0 con 0                idle                 00:17:03   
*  2 vty 0                idle                 00:00:00 10.1.1.1

Interface    User               Mode         Idle     Peer Address

R3>

时间: 2024-10-13 21:44:00

ASA8.4的Inside区域同时访问DMZ公网地址和真实地址测试的相关文章

juniper 550M访问自身公网IP回流内部IP

拓扑图示意: 网关设备juniper 550M, untrust 区: 公网地址段22.22.22.22/29 trust区:      内部员工PC地址:172.16.4.x /24 trust区:      服务器区地址:172.16.2.x 对外部 映射  22.22.22.23  80端口 ->  内部 172.16.2.10  80端口 问题: 内部员工无法访问 http://22.22.22.23  ,但在非公司线路访问正常. 解决方式: 在内部接口做静态路由.因为内部员工和serv

监控服务器日志,找出每分钟访问超过100次的ip地址

#1.监控服务器日志,找出每分钟访问超过100次的ip地址#分析: #1.读取文件,获取到文件里面的所有ip地址 #2.把ip地址存起来,用字典存,key是ip地址,value是次数 #3.循环字典,判断value大于100的 #日志内容分析#37.9.169.20 - - [04/Jun/2017:03:48:21 +0800] "GET /wp-admin/security.php HTTP/1.1" 302 161 "http://nnzhp.cn/wp-admin/s

配置DHCP和NAT,实现用户动态获取IP地址并访问Internet公网

Router作为某企业出口网关.该企业包括两个部门A和B,分别为部门A和B内终端规划两个地址网段:10.10.1.0/25和10.10.1.128/25,网关地址分别为10.10.1.1/25和10.10.1.129/25.部门A内PC为办公终端,地址租用期限为30天,域名为huawei.com,DNS服务器地址为10.10.1.2.部门B地址租用期限为30天,域名为huawei.com,DNS服务器地址为10.10.1.2.企业内地址规划为私网地址,且需要访问Internet公网,因此,需要通

内外网通过公网IP访问DMZ主机

需求: 公司DMZ区域Web服务器对内外提供Web服务,要求必须内外网使用公网IP访问,这样做到内外网透明: 准备: 防火墙外网接口IP 2.2.2.2/29,内网接口IP 10.2.255.253/24,DMZ接口IP 10.1.100.1/24 Web Server IP 10.1.100.87/24,映射公网IP 2.2.2.3 交换机IP 10.2.255.254 内网网段10.2.0.0/16 H3C防火墙配置如下 acl number 2000 rule 2 permit sourc

ASA 防火墙的 inside区域与outside区域

注:测试用telnet来测试因为ASA默认之给TCP与UDP形成CONN表icmp协议不能形成CONN表所以用ping方式来测试是ping不通的是正常现象 ASA.配置: ciscoasa# show running-config: Saved:ASA Version 8.4(2)!hostname ciscoasaenable password 8Ry2YjIyt7RRXU24 encryptedpasswd 2KFQnbNIdI.2KYOU encryptednames!interface

grunt默认只允许localhost和访问,如何设置外部IP地址访问

使用Yeoman生成器创建web项目,使用grunt server启动,默认访问地址为127.0.0.1:9000或者localhost:9000 如果用本机地址如:192.168.1.100:9000访问默认是访问不到的 想要通过IP地址访问需要修改Gruntfile.js的配置: 修改connect节点配置,原本的配置如下: 可以看到hostname上面有注释,大概意思是:将地址改为'0.0.0.0'可从外部访问. 修改成下图,我们的grunt server就可以从外部访问啦!

使用telnet访问某些服务器的端口,以测试可达性,为何有时要好几秒才能成功建立连接?

最近发现,在某些Freebsd服务器上使用telnet访问远程服务器端口,要好几秒才能建立成功连接.为何?今天下午终于搞清楚了.原来telnet在访问远程服务器时,默认启用了反向解析功能.而我们的dns没有配置dns反向解析.导致超时后才使用IP访问对方.这时只要使用-N参数就可以了,比如: telnet -N 192.100.0.1 80 很快建立连接. 其实很多其他服务器也是类似的,默认开启了反向解析功能.比如ssh,mysql. ssh,关闭dns反向解析: UseDNS no mysql

Apache、nginx配置的网站127.0.0.1可以正常访问,内外网的ip地址无法访问,谁的锅?

最近做开发,发现一个比较尴尬的问题.因为我是一个web开发者,经常要用到Apache或者nginx等服务器软件,经过我测试发现,只要我打开了adsafe,我便不能通过ip地址访问我本地的网站了,比如我本机的ip是192.168.1.100,nginx配置的端口是7000,我在浏览器输入127.0.0.1:7000或者localhost:7000,能够正常访问,但是输入http://192.168.1.100:7000 就会提示: 无法连接 Firefox 无法建立到 192.168.1.100:

使用域名访问,禁止通过服务器ip地址访问,过滤客户端ip

httpd-vhosts.conf <VirtualHost *:80> DocumentRoot "d:/wampwww/" ServerName  xxx.xxx.xxx.xxx <Directory /> Options FollowSymLinks #不许可别人修改我们的页面 AllowOverride None #设置访问权限 Order allow,deny Deny from All </Directory> </VirtualH