Cisco ASA 5510 从inside访问DMZ_服务器应用_Linux公社-Linux系统门户网站
你好，游客
Cisco ASA 5510 从inside访问DMZ
来源：Linux社区&
作者：wujingfeng
拓扑很简单.&一台Cisco ASA 5510配置了２个接口，１个inside口(10.0.0.0/8),１个dmz口(20.0.0.0/8),两个接口下各接了一台PC地址为10.0.0.2和20.0.0.2,配置如下:&interface Ethernet0/2&nameif dmz&security-level 50&ip address 20.0.0.1 255.0.0.0&interface Ethernet0/3&nameif inside&security-level 100&ip address 10.0.0.1 255.0.0.0 &nat-control&access-list 100 permit icmp any any&access-group 100 in interface dmz&nat (inside) 1 0 0&global (dmz) 1 20.0.0.10-20.0.0.20 netmask 255.0.0.0&上面两条命令为允许高安全级别到低安全级别的访问&static (dmz，inside) 10.0.0.10 20.0.0.2&access-list dmz extended permit ip any any access-group dmz in interface inside&上面三条命令允许低安全级别到高安全级别的访问
相关资讯 & & &
& (12/28/:27)
& (10/12/:19)
& (03月12日)
& (10/24/:17)
& (09/01/:06)
　　　同意评论声明
　　　发表
尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论
参与本评论即表明您已经阅读并接受上述条款君，已阅读到文档的结尾了呢~~
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
实验四 cisco思科asa 5505 从内网访问DMZ服务器(真实防火墙).doc
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口思科防火墙ASA5520配置 - 分享是最好的记忆 - ITeye博客
博客分类：
思科防火墙ASA5520配置：
目的：1、内网可以上网
2、内网可以访问DMZ区域的服务器
3、外网可以通过公网IP访问DMZ区域的服务器
要求：1、内网的网段192.168.10.0
2、DMZ的网段192.168.5.0
3、外网IP地址：200.200.200.82 200.200.200.83 网关255.255.255.248（这个地址一般是运营商提供）
4、外网路由：200.200.200.81
5、DMZ区域的服务器IP地址：192.168.5.2
步骤1：配置接口inside、outside和dmz
interface g0/0
speed auto
duplex auto
nameif inside
Security-level 100
ip address 192.168.10.1 255.255.255.0
interface g0/1
speed auto
duplex auto
nameif outside
Security-level 0
ip address 200.200.200.82 255.255.255.248
interface g0/2
speed auto
duplex auto
nameif dmz
Security-level 50
ip address 192.168.5.1 255.255.255.0
步骤2、添加外网路由
route outside 0 0 200.200.200.81
步骤3、做nat转换，使得内网可以上网，同时内网可以访问dmz区域的服务器
nat-control
nat (inside) 1 192.168.10.0 255.255.255.0
global (outside) 1 interface
global (dmz) 1 interface
步骤4、做静态nat，将对外网IP的访问转换到dmz区域的服务器
static (dmz,outside) 200.200.200.83 192.168.5.2 netmask 255.255.255.255 dns
注意：这里的外网IP不是outside的接口地址，是另外一个公网IP
步骤5、配置ACL规则，允许外网访问DMZ服务器
access-list out_dmz extended permit tcp any host 200.200.200.83 eq www
access-group out_dmz in interface outside
到此配置结束，正常情况下上面的要求都可以实现了，但是可能由于每个机房的环境不一样，结果会有一些错误。我在机房配置的时候，就遇到问题了，按照上述的配置，其他都好了，就是外网不能访问DMZ区域的服务器，我把配置打印出来看了N多遍都没发现问题，就这个问题折腾了我一个上午，最后发现是因为DMZ服务器有两块网卡，同时连接在不同的子网里面，我把其中一个网线拔掉，外网就可以访问DMZ服务器了。
因此，在配置的过程中，如果确认自己的配置没有问题的时候，就需要考虑到机房环境了，比如有没有爽网卡，服务器的网关有没有设置等等。
浏览 10375
浏览: 656374 次
来自: 南京
您好，我用您的方法运行Cone.java,会给我报java.l ...
60love5 写道首先谢谢你的解析，但你这个验证可见性的小程 ...
首先谢谢你的解析，但你这个验证可见性的小程序是存在问题的，你的 ...
这个list不是静态的第一种情况下也会有线程安全的问题么，求指 ...ASA 5505，外网访问不了FTP - Cisco网络技术论坛
Cisco技术 Cisco设备的安装调试及应用
注册日期: Jan 2006
住址: 深圳
现金:50金币
资产:50金币
声望力: 0 声望: 10
ASA 5505，外网访问不了FTP
域名也绑定了，新拉的电信光纤，WEB可以访问，FTP不行，配置我贴在下面，大家帮我看下，谢谢了！
ASA Version 7.2(4)
hostname ASA5505
domain-name default.domain.invalid
enable password FPdnfIRtbLAvDyVM encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
name 192.168.8.10 SBS2K8 description SBS2K8 Server
name 192.168.8.11 Win2K8 description Win2K8 R2 member server
name 192.168.8.20 VC description Video Conference
name 183.62.200.* ExternalIP_19* description ExternalIP_9*
name 183.62.200.* ExternalIP_19* description ExternalIP_9*
name 183.62.200.* ExternalIP_19* description ExternalIP_9*
name 183.62.200.* ExternalIP_19* description ExternalIP_9*
interface Vlan1
nameif inside
security-level 100
ip address 192.168.8.254 255.255.255.0
interface Vlan2
nameif outside
security-level 0
ip address 183.62.200.*
255.255.255.248
interface Vlan3
no forward interface Vlan1
nameif dmz
security-level 50
ip address dhcp
interface Ethernet0/0
switchport access vlan 2
interface Ethernet0/1
interface Ethernet0/2
interface Ethernet0/3
switchport access vlan 13
interface Ethernet0/4
interface Ethernet0/5
interface Ethernet0/6
interface Ethernet0/7
ftp mode passive
dns domain-lookup outside
dns server-group DefaultDNS
name-server 202.96.134.133
domain-name default.domain.invalid
object-group service SBS2K8_incoming_services_group tcp
port-object eq 10443
port-object eq 3389
port-object eq 4125
port-object eq www
port-object eq https
port-object eq smtp
port-object eq 987
port-object eq ftp
port-object eq ftp-data
access-list inside_access_in extended permit ip 192.168.8.0 255.255.255.0 any
access-list outside_access_in extended permit tcp any host ExternalIP_19* object-group SBS2K8_incoming_services_group
access-list outside_access_in extended permit ip any host ExternalIP_19*
access-list outside_mpc extended permit ip any host ExternalIP_19*
pager lines 24
logging asdm informational
mtu inside 1500
mtu outside 1500
mtu dmz 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
no asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) ExternalIP_19* VC netmask 255.255.255.255
static (inside,outside) ExternalIP_19* SBS2K8 netmask 255.255.255.255
access-group inside_access_in in interface inside
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 183.62.200.* 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
http server enable
http 0.0.0.0 0.0.0.0 outside
http 192.168.8.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
dhcpd address 192.168.8.201-192.168.8.230 inside
class-map VC-outside-class
match access-list outside_mpc
policy-map VC-outside-policy
class VC-outside-class
service-policy VC-outside-policy interface outside
prompt hostname context
Cryptochecksum:ada4db9bd98a6eafa811f
asdm image disk0:/asdm-524.bin
asdm location SBS2K8 255.255.255.255 inside
asdm location Win2K8 255.255.255.255 inside
asdm location VC 255.255.255.255 inside
asdm location ExternalIP_19* 255.255.255.255 inside
asdm location ExternalIP_19* 255.255.255.255 inside
asdm location ExternalIP_19* 255.255.255.255 inside
asdm location ExternalIP_19* 255.255.255.255 inside
no asdm history enable
注册日期: Nov 2004
现金:265金币
资产:265金币
声望力: 13 声望: 10
声望力: 13
回复: ASA 5505，外网访问不了FTP
ftp 要使用20 21 两个端口，在防火墙上要做特别配置的。
你好像访问外部的ftp server ，在客户端上使用被动模式应该就可以了吧。
原因就是20 好数据端口，自己研究一下吧
注册日期: Jan 2006
住址: 深圳
现金:50金币
资产:50金币
声望力: 0 声望: 10
回复: ASA 5505，外网访问不了FTP
可能是我没说清楚，我的意思是我的服务器搭建的FTP和WEBSITE服务器，外面的人访问我的FTP不行,但WEBSITE却可以
注册日期: Nov 2004
现金:265金币
资产:265金币
声望力: 13 声望: 10
声望力: 13
回复: ASA 5505，外网访问不了FTP
加上inspect ftp
被 pplong 编辑。
注册日期: Jan 2011
住址: 广东
帖子: 1,099
现金:831金币
资产:831金币
声望力: 8 声望: 10
回复: ASA 5505，外网访问不了FTP
我看不懂。。。
注册日期: Aug 2003
住址: ShenZhen
现金:1069金币
资产:1069金币
声望力: 15 声望: 10
声望力: 15
回复: ASA 5505，外网访问不了FTP
policy-map VC-outside-policy
class VC-outside-class
inspect ftp
最好不要改global_policy,如果要改，在里面加class.
您不可以发表新主题
您不可以发表回复
您不可以上传附件
您不可以编辑自己的帖子
论坛禁用 HTML 代码
用户控制面板
会员在线状态
网络技术图书评论专区
Cisco技术高级讨论区
Cisco网络协议分析、故障诊断【泰克实验室】
CCNA/CCDA认证
CCNP/CCDP认证
CCIE/CCIP/CCSP等认证
Cisco认证综合区
网络技术区
网络基础知识
网络规划和案例
协议原理综合区
网络产品区
Nortel-北电
Alcatel-Lucent
其它网络产品
HP网络产品
Foundry(网捷)
ATI 安奈特
其他技术区
Linux/Unix技术
存储与备份
计算机科学(试运行)
资料共享专区
工程与销售 职场生涯
其他计算机类认证考试
论坛兄弟交流区
English Club
相似的主题
所有时间均为北京时间。现在的时间是 。
Powered by vBulletin& 版本 3.8.3
版权所有 &2000 - 2017，Jelsoft Enterprises Ltd.
增强包&[3.4]&制作: &&
官方中文站:
Copyright & 2003 - , All Rights Reserved
备案号:皖ICP备号