iT邦幫忙

0

cisco asa nat 設定一問

gwrick 2011-07-27 02:27:5911394 瀏覽

小弟正在學習公司的asa,摸索當中有許多不明白處,想請問各位前輩~
若假設有三個interface,outside ip:10.10.10.1,inside ip:192.168.0.1,dmz ip:192.168.10.1
現有一台exchange server(主機A)位在dmz ip:192.168.10.2原本是設定static nat指向到實體ip:10.10.10.2(有兩條rule,inside及outside)
inside的pc若是連結到此主機A的實體ip:10.10.10.2,算是從inside->outside->dmz嗎?
是的話,在outside的acl設定上,要怎樣設才不會擋到inside的用戶?destination是要設實體ip還是dmz的ip?
因最近又要加裝spam server(主機B)進dmz ip:192.168.10.3,原本的nat好像要改成pat,10.10.10.2的25port要指到主機B的ip,那原本的主機A要開放那些port指向到10.10.10.2?用那一種類型的nat?(我對於static nat、static policy nat、dynamic policy nat...等,有點搞混了@@)
如果要在公司外部使用outlook無所不在,是否只要開放80及443port?

2 個回答

2
pisceseros
iT邦新手 3 級 ‧ 2011-07-29 15:37:22
最佳解答

雖然我不是很懂asa,但是
inside的pc若是連結到此主機A的實體ip:10.10.10.2,算是從inside->outside->dmz嗎?

inside要連到mail server時,目的IP是10.10.10.2沒錯,但該封包進入ASA時,便會

起動NAT,這時應該是,從inside要去10.10.10.2的人,請改走192.168.10.2

而outside要連mail server時應該是,外界的人只要是想連到10.10.10.2這個IP的人

到達ASA後,請改走192.168.10.2。

我不太清楚mail協定用什麼port啦,但只要很清楚NAT的基本觀念,應該就能理出頭緒

加裝SPAM SERVER其實不用想的太複雜,把他當成是一台防火牆或是過濾器就好了,所有

的信件都會先經過SPAM SERVER才會進到mail server,出去時則要看你們要不要設定

我前輩說,ASA上的設定其實很簡單,先把SPAM SERVER的架構和接法給弄懂,到時自然

就會知道怎麼設定了。

2
astronomy
iT邦新手 5 級 ‧ 2011-07-31 09:28:16

下面這些指令應該可以完成『NAT』的部份,我假設你的三個interface都已經設定好了
ACL的部份應該不是很難,就讓你自己學習囉

object network public_ip
host 10.10.10.2
object network spam_server
host 192.168.10.3
nat (dmz,outside) static public_ip service tcp smtp smtp
exit

object network spam_server
nat (dmz, any) static public_ip
exit

outlook及spam server部分沒在用,所以不是很清楚,原廠手冊應該會有提到

我要發表回答

立即登入回答