如何通过外部IP访问内部服务器？

我们正在尝试配置我们的Cisco 5505，并且已通过ASDM完成。

有一个我们无法解决的大问题，那就是当您从内到外再返回时。

例如，我们有一个“内部”服务器，如果我们在内部或外部，我们希望能够以相同的地址到达该服务器。

问题在于添加了一条规则，该规则将允许流量从内部到外部再返回。

ASA防火墙无法路由流量。您需要将内部地址与外部地址对照起来。

解决方案1：使用静态NAT的DNS篡改

假设您的外部网站IP地址为1.2.3.4，然后再次将其端口转发（或直接进行NAT）到内部IP地址192.168.0.10。使用DNS篡改，将发生以下情况：

1. 内部的客户端请求http://www.companyweb.com，其原始翻译为1.2.3.4
2. ASA截取DNS回复数据包，并将A记录替换为192.168.0.10
3. 客户非常高兴，因为它现在可以打开公司网站：-)

有关如何启用此功能的更多详细信息，请访问：http : //www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml

解决方案2：内部DNS服务器

如果您只有一个外部IP，并且将此IP端口转发到不同服务器上的许多内部服务，则该端口很有用（假设端口80和443转到192.168.0.10，端口25转到192.168.0.11等）。

它不需要在ASA上进行任何配置更改，但是将需要您在内部DNS服务器（Active Directory内置此服务器）上复制外部域。您只需创建与您现在拥有的记录完全相同的记录，仅使用内部服务上的内部IP。

“解决方案” 3：具有公共IP的DMZ接口

我将不对此进行详细介绍，因为它要求您从ISP路由到ASA来获得IP地址的子网。这些天，IPv4匮乏非常困难。

由于其他类似的问题在此处被标记为重复，因此我希望通过第4个选项补充@pauska的出色回答。

解决方案4：通过NAT发夹路由流量

允许通过Cisco PIX / ASA设备上的接口返回流量的操作，例如当nat：ed客户端通过其公共IP访问nat：ed服务器时，称为Cisco NAT发夹。

它使用与nat和端口转发通常相同的配置参数，但增加了以下命令：

same-security-traffic permit intra-interface

第二个静态映射用于到服务器的内部到内部流量：

static(inside,inside) i.i.i.i x.x.x.x

此处详细介绍了此示例，并提供了用于两个界面设计的配置示例：http : //www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml#solution2

以下是用于三接口设计的目标NAT替代方法：http : //www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml#solution2

您不能从内部访问Pix / ASA上的外部接口。您应该将服务器的外部地址的DNS请求重定向到内部地址。