«Проброс портов» на Cisco ASA — это одна из давно известных проблем в настройке данного аппаратного инструмента. При возникновении этой ошибки пользователи из внешнего интернета не могут заходить на внутренние серверы компании, а пользователи компании не могут выходить во внешние сети. Таким образом, устройство Cisco ASA выступает в роли «неприступной стены», которую пользователи не могут преодолеть самостоятельно.
Напомним, что Cisco ASA — это серия межсетевых экранов, отлично защищающая внутренние дела локальной сети от воздействия внешних угроз. Среди подобных инструментов Cisco ASA является лидером по популярности, так как отлично справляется со своими задачами. Основные клиенты данных инструментов защиты — это крупные богатые организации, которые желают защитить собственные внутренние сети. На практике Cisco ASA — это комплексное аппаратное защитное устройство, которое полностью укомплектовано программным обеспечением от производителя, начиная от операционной системы и заканчивая защищающими программами. Но даже такие аппаратные устройства дают сбой, в нашем случае этот сбой называется «проброс портов на Cisco ASA».
Cisco ASA: проброс портов
По сути, проброс портов — это перенаправление внешнего трафика, адресованного к защищаемому внутреннему серверу или внутренней сети, или же наоборот, когда исходящий во внешние сети трафик перенаправляется обратно. Таким образом, получается, что «проброс портов» на Cisco ASA может создавать проблемы с двух сторон:
ограничивать доступ внешним пользователям к локальной сети;
ограничивать доступ локальной сети к внешним сетям.
Обе эти проблемы решаются в аппаратных настройках устройств Cisco ASA. По сути, нужно просто разрешить доступ к внешним сетям или наоборот, к внутренним сетям.
Как разрешить доступ внутренним пользователям во внешние сети
Устранить «проброс портов» Cisco ASA для внутренних пользователей можно по следующему алгоритму:
Настроить динамическое правило NAT. Для этого нужно открыть окно настройки Cisco ASDM для ASA.
Перейти в раздел «Конфигурации».
Найти там пункт «Файервол» или «Брандмауэр».
Нажать там пункт «Добавить правило динамического NAT».
Вам откроется окно для добавления динамического NAT, где нужно будет выбрать реальный IP-адрес хостов, которым необходимо предоставить доступ во внешние сети. Тут можно выбрать всю локальную сеть или же определенные хосты. Хост — это в нашем случае компьютер.
Выбрав хосты, нужно будет нажать кнопку «Управление», после этого должно открыться окно по управлению глобальными пулами.
В открывшемся окне нужно нажать кнопку «Добавить».
Здесь вы добавляете диапазон IP-адресов, куда нужно открыть доступ. Также этому диапазону нужно будет задать имя для удобной идентификации. После того как диапазон будет добавлен, нужно будет нажать кнопку «Ок».
Вам опять откроется окно «Управление глобальными пулами». Ваша задача — опять нажать «Ок».
Вам опять откроется окно «Добавление динамического NAT». Ваша задача — опять нажать «Ок».
Вам опять откроется окно «Настройки файервола». Ваша задача — нажать «Применить».
Все, «проброс портов» Cisco ASA для внутренних пользователей решен. Теперь им открыт доступ к указанным внешним адресам. Сейчас давайте решим похожую проблему, но для внешних пользователей, которым нужно предоставить доступ к внутренним ресурсам.
Как разрешить доступ внешним пользователям во внутренние ресурсы
Устранить «проброс портов» Cisco ASA для внешних пользователей можно по следующему алгоритму:
Откройте настройки Cisco ASA и раздел «Конфигурация».
Там найдите раздел «Брандмауэр» и откройте в нем пункт «Добавить правило статического NAT».
Откроется окно настройки «статического NAT», где нужно будет добавить исходный и транслированный IР-адрес, плюс нужно будет указать интерфейсы, которые с ними связаны. После этого нажмите «Ок». Исходный IP-адрес — это внутренний адрес сервера или хоста, к которому вы открываете доступ. Транслированный IP-адрес — это открытый адрес внутреннего хоста.
После этого откроется окно настройки статического преобразования NAT. Вам остается только проверить, что IP-адрес, к которому вы пытаетесь открыть доступ, верный. Если все правильно, тогда жмите кнопку «Применить».
То есть такой способ сводится к простой схеме. У вас есть внутренние IP-адреса, которые закрыты для внешних пользователей. Вы берете адрес, к которому хотите открыть доступ, и при помощи статического NAT присваиваете ему открытый IP-адрес, который будет доступным для внешних пользователей.
Заключение
«Проброс портов» Cisco ASA — это известная проблема для аппаратных защитных устройств Cisco. Решается она довольно просто как для внешних, так и для внутренних хостов. Важно соблюдать осторожность и быть предельно внимательным в том случае, когда внутренние серверы открываются для внешних пользователей, чтобы таким «снятием ограничений» не навредить всей внутренней системе.
Другое