Como eu alcanço meu servidor interno no IP externo?

Estamos tentando configurar o Cisco 5505, e isso foi feito através do ASDM.

Há um grande problema que não conseguimos resolver e é quando você passa de dentro para fora e volta a entrar.

Por exemplo, temos um servidor "interno" e queremos poder alcançá-lo com o mesmo endereço se estivermos do lado de dentro ou do lado de fora.

O problema é adicionar uma regra que permita o tráfego de dentro para fora e depois volte novamente.

O firewall ASA não pode rotear tráfego. Você precisa masq o endereço interno contra o endereço externo.

Solução 1: DNS manipulando com NAT estático

Digamos que o endereço IP do seu site externo seja 1.2.3.4, que é novamente encaminhado por porta (ou diretamente com NAT) para o endereço IP interno 192.168.0.10. Com a manipulação de DNS, o seguinte acontecerá:

1. O cliente interno solicita http://www.companyweb.com , que é traduzido originalmente para 1.2.3.4
2. O ASA intercepta o pacote de resposta DNS e substitui o registro A por 192.168.0.10
3. O cliente fica muito feliz, pois agora pode abrir o site da empresa :-)

Para informações mais detalhadas sobre como você habilita isso: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

Solução 2: servidor DNS interno

Este é útil se você tiver apenas um IP externo e encaminhar esse IP para muitos serviços internos em servidores diferentes (digamos que as portas 80 e 443 vão para 192.168.0.10, a porta 25 vai para 192.168.0.11 etc.).

Não requer nenhuma alteração de configuração no ASA, mas exigirá que você duplique seu domínio externo em um servidor DNS interno (o Active Directory tem isso incorporado). Você acabou de criar exatamente os mesmos registros que possui agora, apenas com IPs internos nos serviços que possui internamente.

"Solução" 3: interface DMZ com IPs públicos

Não vou entrar em muitos detalhes sobre este, pois exige que você obtenha uma sub-rede de endereços IP do seu ISP roteada para o seu ASA. Hoje em dia está muito difícil com a falta de IPv4.

Como outras perguntas semelhantes estão sendo marcadas como duplicadas com uma referência aqui, desejo complementar a excelente resposta de @pauska com uma quarta opção.

Solução 4: roteando o tráfego pelo NAT Hairpinning

Permitir o tráfego de volta através de uma interface em um dispositivo Cisco PIX / ASA, como quando um cliente nativo acessa um servidor natado através de seu IP público, é chamado NAT Hairpinning by Cisco.

Ele usa essencialmente os mesmos parâmetros de configuração de sempre para o encaminhamento nat e port, mas com a adição deste comando:

same-security-traffic permit intra-interface

e um segundo mapeamento estático para tráfego de dentro para dentro do servidor:

static(inside,inside) i.i.i.i x.x.x.x

Isso é descrito detalhadamente com um exemplo de configuração aqui para um design de duas interfaces: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

E aqui está uma alternativa NAT de destino para um design de três interfaces: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2

Você não pode acessar a interface externa em um Pix / ASA a partir do interior. Você deve redirecionar solicitações de DNS para o endereço externo do servidor para o endereço interno.