Cisco ASA发布内网服务器nat rewrite解决内网无DNS问题
Cisco ASA发布内网web 服务器解决内网无DNS 问题 前天做了个项目,客户要求通过ASA 防火墙将内网中的web 服务发布到公网上,我在防火墙上做了静态NAT 的配置后发现外网的用户可以使用
Cisco ASA发布内网web 服务器解决内网无DNS 问题 前天做了个项目,客户要求通过ASA 防火墙将内网中的web 服务发布到公网上,我在防火墙上做了静态NAT 的配置后发现外网的用户可以使用域名和IP 地址直接访问发布后的web 服务器,而内网中的用户不管是使用域名还是使用发布后的服务器IP 地址都不能访问发布后的web 服务器,由于内网中没有DNS 服务器,内网用户访问内网的中的web 服务器很不方便,大多数内网用户都不会通过IP 地址访问web 服务。我的防火墙为Cisco ASA5540,系统版本为8.4(3)
内部网络拓扑:
最初在防火墙上的配置如下:
Asa5540(config)# object network insideweb
Asa5540 (config-network-object)# host 192.168.100.1
Asa5540 (config-network-object)# nat (inside ,outside ) static 209.165.200. 5 Asa5540(config)#access-list 101 permit tcp any host 192.168.100.1
Asa5540(config)#access-group 101 in interface outside
这样配置后内网用户192.168.100.2使用域名http://server.example.com访问不到服务器,而外网访问正常。内部用户只能通过内网的地址http://192.168.100.1来访问,这样对于内网用户很不方便。
我通过查阅思科的ASA 配置文档后发下了,可以在配置NA T 时配置DNS rewrite来解决这个问题,就是通过在配置静态NA T 是配置DNS rewrite可以使内部用户在通过域名访问发布后的web 服务器时,防火将重写内部的用户的dns ,将server.example.com 解析到了192.168.100.1的地址上,这样内部用户就可以直接通过域名来轻松访问web 服务器了。 具体配置如下:
,
Asa5540(config)# object network insideweb
Asa5540 (config-network-object)# host 192.168.100.1
Asa5540 (config-network-object)# nat (inside,outside )static 209.165.200. 5 dns ##配置dns rewrite
Asa5540(config)#access-list 101 permit tcp any host 192.168.100.1
Asa5540(config)# access-list 101 permit tcp any host 209.165.200.225 eq www ##允许访问web
Asa5540(config)#access-group 101 in interface outside
该配置来自Cisco_asa _8.4 命令行指导手册
------Term1nat0r