Cisco ASA发布内网web服务器解决内网无DNS问题
前天做了个项目,客户要求通过ASA防火墙将内网中的web服务发布到公网上,我在防火墙上做了静态NAT的配置后发现外网的用户可以使用域名和IP地址直接访问发布后的web服务器,而内网中的用户不管是使用域名还是使用发布后的服务器IP地址都不能访问发布后的web服务器,由于内网中没有DNS服务器,内网用户访问内网的中的web服务器很不方便,大多数内网用户都不会通过IP地址访问web服务。我的防火墙为Cisco ASA5540,系统版本为8.4(3) 内部网络拓扑:
最初在防火墙上的配置如下:
Asa5540(config)# object network insideweb
Asa5540 (config-network-object)# host 192.168.100.1
Asa5540 (config-network-object)# nat (inside,outside) static 209.165.200. 5 Asa5540(config)#access-list 101 permit tcp any host 192.168.100.1 Asa5540(config)#access-group 101 in interface outside
这样配置后内网用户192.168.100.2使用域名http://server.example.com访问不到服务器,而外网访问正常。内部用户只能通过内网的地址http://192.168.100.1来访问,这样对于内网用户很不方便。
我通过查阅思科的ASA配置文档后发下了,可以在配置NAT时配置DNS rewrite来解决这个问题,就是通过在配置静态NAT是配置DNS rewrite可以使内部用户在通过域名访问发布后的web服务器时,防火将重写内部的用户的dns,将server.example.com解析到了192.168.100.1的地址上,这样内部用户就可以直接通过域名来轻松访问web服务器了。 具体配置如下:
Asa5540(config)# object network insideweb
Asa5540 (config-network-object)# host 192.168.100.1
Asa5540 (config-network-object)# nat (inside,outside)static 209.165.200. 5 dns ##配置dns rewrite
Asa5540(config)#access-list 101 permit tcp any host 192.168.100.1
Asa5540(config)# access-list 101 permit tcp any host 209.165.200.225 eq www ##允许访问web
Asa5540(config)#access-group 101 in interface outside
该配置来自Cisco_asa _8.4 命令行指导手册
------Term1nat0r
