首页 > 代码库 > ASA Hairpinning

ASA Hairpinning

2024-11-03 03:41:01   204人阅读

技术分享

 基本配置:

R1:
interface FastEthernet0/0
ip address 202.100.1.2 255.255.255.0
no shut
ASA842:
interface GigabitEthernet0
nameif inside
ip address 10.1.1.254 255.255.255.0
no shut
interface GigabitEthernet1
nameif outside
ip address 202.100.1.1 255.255.255.0
no shut
route outside 0.0.0.0 0.0.0.0 202.100.1.2
R2:
interface FastEthernet0/0
ip address 10.1.1.1 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 10.1.1.254
enable secret cisco
line vty 0 4
password cisco
login
 
—–R1开启telnet服务
PC1:
IP:10.1.1.2/24
GW:10.1.1.254
 
3.防火墙NAT配置:
A.动态PAT:
object network insidenet
subnet 10.1.1.0 255.255.255.0
nat (inside,outside) dynamic interface
B.静态PAT:
object network R1
host 10.1.1.1
nat (inside,outside) static interface service tcp 23  2323
 
4.防火墙策略配置:
A.开启ICMP审查
policy-map global_policy
class inspection_default
inspect icmp
 
B.允许外面Telnet内网R2
access-list outside-in extended permit tcp any object R1 eq 23
access-group outside-in in interface outside
 
5.测试:
A.PC1能正常通过R2内网地址telnet R2
B.R1能正常通过R2映射后公网地址telnet R1
R1#telnet 202.100.1.1 2323
Trying 202.100.1.1, 2323 … Open
 
User Access Verification
 
Password:
R2>
C.但是PC2却无法通过R1映射后的公网地telnet R1
D.通过如下链接,修改ASA outside接口掩码为30为,PC1还是不能telnet R2的公网地址,抓包发现ASA发出tcp的syn包时,R1只是给了个ICMP重定向包。
 
E.通过如下链接,配置hairpin NAT
 
①允许相同接口返回流量
same-security-traffic permit intra-interface
 
②定义对象和服务
object network R1-Public
host 202.100.1.1
object service telnet
service tcp destination eq 23
object service telnet-outside
service tcp destination eq 2323
③配置hairpin NAT
nat (inside,inside) source static any interface destination static R1-Public R1 service telnet-outside telnet
④测试,PC1能通过telnet 202.100.1.1 2323登录R2,登录R2后看到的源地址为防火墙内网口地址
 
技术分享
 
 
------------------------------------------------------------
 
Cisco ASA Hairpinning解决内网使用公网IP访问
说来挺拗口,是大部分人都会遇到的问题。特别是没有使用单独的DMZ区对外发布服务器的人必须面对的问题。
情景说明:
通过Cisco ASA 5520 防火墙,使用公网IP 8.8.8.8(outside),发布了一台WEB服务器,其私网IP是192.168.1.8(inside)。
希望实现的目标:
公司内部(位于inside)用户计算机,想使用公网IP 8.8.8.8(或解析成公网IP的域名)访问这台(位于inside)WEB服务器。
默认情景下,公司内部inside计算机无法通过公网IP访问到这台inside服务器。因为思科的防火墙不允许inside进来的流量,未经其它接
口出去而直接从inside返回(会被ASA直接丢弃)。
为实现在公司内部(inside)也能使用公网IP访问同样在inside的这台WWW服务器,思科至少有几种做法:
 
一是Alias + static NAT,配置别名。
原理就是内部的计算机到外部进行DNS查询时,ASA根据别名配置,将返回的公网IP替换成私网IP,这样其实内部计算机直接使用私网IP
访问WWW服务器。(可以使用ping 域名查看返回的IP地址进行验证)
 
二是DNS Doctoring + static NAT。
原理同Alias,是更新版本IOS的功能。在7.0以上的版本中已不推荐使用Alias(若使用了Alias,则ASDM会提示不支持Alias而无法加载配
置)。
 
三是 Hairpinning +static NAT。
原理是允许inside进来的流量,未经其它接口出去而直接从inside接口返回。
相关的命令是:same-security-traffic permit intra-interface 俗称:Hairpinning
为此花了两天时间琢磨了一下,才发现要7.2及以后的IOS版本才支持Hairpinning。晚上将ASA5520从7.0顺利升级到8.2,Hairpinning
配置成功。
 
Hairpinning相关配置如下:
1、same-security-traffic permit intra-interface
!— 启用Hairpinning功能,允许流量直接原路径返回。
2、nat (inside) 1 192.168.100.0 255.255.255.0
!— 为内网用户访问公网定义NAT。
3、global (outside) 1 interface
!— 为内网用户访问公网定义global地址。
4、global (inside) 1 interface
!— 为内网用户使用Hairpinning访问内部服务器定义global地址
5、static (inside,outside) 8.8.8.8 192.168.1.8 netmask 255.255.255.255
!— 使用Static NAT映身一台服务器,公网IP 8.8.8.8,内网IP 192.168.1.8。
6、static (inside,inside) 8.8.8.8 192.168.1.8 netmask 255.255.255.255
!— 为Hairpinning流量返回路径定义NAT映射:8.8.8.8 —-> 192.168.1.8。
7、access-list outside_access_in extended permit tcp any host 8.8.8.8 eq 80
!— 配置ACL对外发布WWW服务,端口为80。
8、access-group outside_access_in in interface outside
!— 将ACL应用到外部接口。
 

ASA Hairpinning


联系
我们