理解Cisco ASA防火墙上的alias命令

最新推荐文章于 2024-01-12 09:35:55 发布
原创 最新推荐文章于 2024-01-12 09:35:55 发布 · 2.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍Cisco ASA防火墙中Alias的应用方法,包括利用DNSDoctoring修正外部DNS服务器回复及转换目标IP地址的DNAT。通过具体实例展示如何配置内部客户端通过内部IP地址连接内部服务器,以及如何实现内部客户端调用外部地址访问DMZ区。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于在DMZ或INSIDE区服务器发布的问题,从互联网访问inside或dmz的服务器都很正常,从inside可以访问互联网,但就是不能通过互联网域名访问inside和dmz的服务器。有些朋友提到alias和alias的资料,但都没有详细的解说,其实cisco官方网站有针对这种情况的资料,最终能圆满解决此问题,特将其翻译以供大家参考。


本文档阐述alias在Cisco ASA防火墙中的用法

Alias的两个功能:
      1、利用DNS Doctoring修正外部DNS服务器回复:
       利用DNS Doctoring,ASA 将"改变" 外部DNS响应的地址到另一个IP,这个地址不同于DNS服务器上真实提供的域名-IP记录,此功能实现从内部客户端通过内部IP地址连接到内部服务器上。

2、转换目标IP地址的dnat(Destination NAT)到另一个IP:
      用dnat改变应用程序的标地址,此功能实现从内部客户端调用外部地址访问周边网络(例如DMZ区),不修改DNS回复,用DNS Doctoring转换内部地址。


例1: web服务器地址10.10.10.10,对应的外部IP为99.99.99.99。
       注意:DNS在防火墙外.在dos提示窗输入nslookup验证一下DNS服务器是如何解析你的web服务器的外部IP,客户端PC应该返回的是内部地址10.10.10.10,因为DNS请求经过ASA已经被它改变了。如果你为DNS fixup使用alias命令,要让DNS fixup正常工作,需禁止proxy-arp功能,用列命令禁止proxy-arp:
       sysopt noproxyarp inside
       如果你想用10.10.10.25这台机器通过www.mydomain.com访问你的web服务器,只需要实现以下alias命令:
       alias (inside) 10.10.10.10 99.99.99.99 255.255.255.255

设置inside端口的DNS Doctoring,一旦监测到发往inside端口的DNS,回复里IP内容为99.99.99.99,则用10.10.10.10替换掉,再发到客户端PC。

接下来,必须为web服务器做静态地址转换,为所有人提供web服务器的80端口访问权(http):
static(inside,outside) 99.99.99.99 10.10.10.10 netmask 255.255.255.255
此命令建立web服务器真实地址10.10.10.10和外部地址99.99.99.99的转换。

用access list命令赋予访问权:
access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside
允许来自outside的任何用户访问web服务器的80端口。

用目标NAT(dnat)转换DMZ地址,如果web服务器在ASA的DMZ区,必须用alias作Destination NAT (dnat)。

例2:web服务器在DMZ的地址为192.168.100.10,外部地址99.99.99.99。要用dnat转换99.99.99.99为web服务器的真实地址192.168.100.10,从inside客户端发出的DNS请求和回复不会改变,从inside的PC上看来就象访问外部地址99.99.99.99一样,所以DNS回复并未被ASA修改。

想从10.10.10.0 /24网络通过外部域名www.mydomain.com访问DMZ里的web服务器,并不想让ASA修改我们的DNS回复,让ASA作dnat把外部IP地址转为DMZ里web服务器真实地址192.168.100.10。

注意: 当然了,如果从inside访问dmz里的192.168.100.10都不能够,光作这个也是不能访问的,前提是inside用户能够外访,也能访问到DMZ内部地址:
       global (outside) 1 interface
       global (dmz) 1 interface
       nat (inside) 1 0 0

如果不想利用interface占的地址,也可以另指定你相应端口网络里的地址:
       global (outside) 1 99.99.99.3
       global (dmz) 1 192.168.100.2
       nat (inside) 1 0 0

现在,用alias命令作dnat:
       alias(inside) 99.99.99.99 192.168.100.10 255.255.255.255

此句设置dnat,DNS回复不会被ASA修改,因为外部地址99.99.99.99不匹配第二个地址(192.168.100.10),由于发往客户端的DNS回复里有与目标地址99.99.99.99匹配,请求会“dnat-ed”。
       注意::此例中IP地址与上面DNS Doctoring的例子中顺序相反。

接下来做web服务器的静态转换,允许所有人访问其80端口(http):
       static(dmz,outside) 99.99.99.99 192.168.100.10 netmask 255.255.255.255
      建立dmz区服务器地址192.168.100.10与外部地址99.99.99.99间静态转换。

赋予访问权,access list命令如下:
       access-list 101 permit tcp any host 99.99.99.99 eq www
       access-group 101 in interface outside
      允许所有来自outside用户访问web服务器80端口。

配置中的说明:
       1)alias命令里的interface应该是发出请求的客户端所在那个端口.。
       2)如果DMZ里也有客户端PC,需专门为dmz设置的alias命令 (也就是DNS doctoring),例如:你想让DMZ的其他客户端用外部域名访问DMZ的web服务器,其实做法已跟例1没什么区别,为DMZ增加一条alias,做一个DNS Doctoring修改它DNS回复就行了:
        alias (dmz) 192.168.100.10 99.99.99.99 255.255.255.255
        3)如果ASA有更多的端口,可以为不同的端口作多条alias命令。


Linux——防火墙
mantou_riji的博客
05-17 1013
alias 别名=‘实际命令’定义自定义命令影响指定用户的bash解释环境:在~/.bashrc文件中配置,每次开启bash终端时生效影响所有用户的bash解释环境:在文件中配置,每次开启bash终端时生效注意配置完成之后需要在新的终端窗口才可以使用。上面启动的两个web服务,只能通过本机访问,外界网络访问的话会报错:为了解决这个问题我们需要关闭防火墙防火墙的作用是隔离,从而保护主机安全。防火墙严格过滤入站请求,允许出站请求。主机自己访问自己的时候是不需要经过防火墙的。
ASA防火墙之telnet管理的限制配置实例
Stephen_jj的博客
04-27 1879
telnet管理的限制配置实例 本篇继续讲防火墙的特性,关于telnet网管的管理的流量进行限制,限制其同一时间的控制量。 配置实例 需求:对inside接口telnet管理ACS进行流量限制,限制最大连接数为1。即R1与R4不能够同时telnet ASA,只允许一台telnet。 配置命令如下: 配置命令 ASA(config)#telnet 192.168.150.0 255.255.255...
理解PIX Firewall上的alias命令
gotonet的专栏
10-29 639
最近我设置防火墙vpn和服务器,DMZ区服务器发布的问题,从互联网访问inside或dmz的服务器都很正常,从inside可以上互联网,但就是不能通过互联网域名访问inside和dmz的服务器,很是苦恼,用google搜索资料,逛到这个论坛来了,这里还不错,有很多新手和大虾。在我用google搜索的过程中,不停的遇到很多朋友和我一样的问题,但始终没有看到一个妥善解决的办法。有的朋友提到用内部dns
ASA防火墙如何配置alias
Jian Sun_的博客
07-01 864
今天东拼西凑些资料,也是我今天调试中遇到的问题。 之前有个人问过我说内网有台服务器,没有DNS服务器,在内网可以用内网IP访问,但是无法用公网IP和域名访问,在外网用公网IP访问是没问题的。怎么处理?我给他的两种解决方案是:内网服务器:192.168.100.2公网IP:218.222.121.161,static (inside,outside) tcp interface 3342...
alias命令详解
weixin_30879169的博客
12-06 513
1.简介: 设置指令的别名,用户可利用alias,自定指令的别名。若仅输入alias,则可列出目前所有的别名设置。 alias的效力仅及于该次登入的操作。若要每次登入是即自动设好别名,可在/etc/profile或自己的~/.bashrc中设定指令的别名。 还有,如果你想给每一位用户都生效的别名,请把alias la='ls -al' 一行加在/etc/bashrc最后面,bashrc是...
Cisco Nexus Alias别名使用方法
funnycoffee123的博客
01-12 1040
就是一个别名。 啥意思呢? 就是通过自定义一个名称来代表一条命令, 目的: 简化敲键盘的次数。 怎么偷懒怎么来。Nexus交换机在保存配置时,需要copy running startup,默认是没有write命令的,有没有更好的方法? 比如使用传统的wirte命令。 操作方法 定义alias 查看已经配置的alias 测试,直接输入 wri保存 1.2 Cisco 官方说明 Alias还可以实现嵌套,即定义的第2个alias 可以在其中调用其他的aliasUsing Command Aliases
思科ASA防火墙配置手册
weixin_34221073的博客
04-12 1628
一:思科防火墙支持下列用户配置方式: Console,Telnet,SSH(1.x或者2.0,2.0为7.x新特性,PDM的http方式(7.x以后称为ASDM)和VMS的Firewall Management Center。 Catalyst6500的FWSM(防火墙服务模块Firewall Service Module)没有物理接口接入,通过下面CLI命令进入: ...
已测试ASA基础配置.txt
最新发布
09-17
我们将详细解析每个步骤的具体命令和配置策略,确保读者可以对ASA防火墙有一个全面的理解。 首先,配置ASA防火墙的第一步是设置网络接口。在示例中,我们看到有三个接口的配置:inside、dmz和outside。接口inside被...
解决 Cisco ASA 内网用户不能通过域名访问内网web问题!
海笑天涯
04-08 4828
本文档阐述lias在Cisco PIX防火墙中的用法. Alias的两个功能: 利用DNS Doctoring修正外部DNS服务器回复 o 利用DNS Doctoring,PIX 将"改变" 外部DNS响应的地址到另一个IP,这个地址不同于DNS服务器上真实提供的域名-IP记录。 o 此功能实现从内部客户端通过内部IP地址连接到内部服务器上。 转换目标IP地址的dnat(Destina
关于ASA 5500系列防火墙8.6版本的配置
weixin_33697898的博客
07-17 1071
: Saved: Written by enable_15 at 10:27:59.079 UTC Fri May 10 2013!ASA Version 9.0(2) !hostname ciscoasaenable password 2KFQnbNIdI.2KYOU encryptedxlate per-session deny tcp any4 any4xlate pe...
Cisco ASA典型配置案例及详解
10-10
Cisco ASA典型配置案例集详解,对于刚接触cisco防火墙初学者有很大帮助!
如何通过公网IP经过防火墙访问内网服务器
weixin_33749131的博客
05-27 3937
在使用防火墙发布内网服务器的情况下,我们会遇到这样的问题,内网通过服务器映射后的公网IP地址无法访问内部服务器,恰恰用户又需要内外网来回移动必须使用公网IP而无法使用内网IP来访问。作为一个普普通通的需求,却成了个难题,各厂家也给出了解决方案。 这里以Cisco ASA5510防火墙为例,可以尝试如下解决办法: 默认情况下,企业内网inside计算机无法通过公网IP访问到...
思科Cisco——IOS命令配置小技巧
cker_x的博客
09-24 1081
命令1:range SW(config)#int range Gi 0/1-3 //进入1-3接口范围 SW(config-if-range)#switchport mode access //定义端口为接入端口 ##################################### interface GigabitEthernet0/1 switchport mode access ! interface GigabitEthernet0/2
思科9124光纤交换机配置管理使用手册
weixin_44247385的博客
09-02 3496
9124光纤交换机配置管理使用手册 初始化信息 3 交换机基本配置 4 2.1. 配置交换机管理地址 4 2.2. LICENSE注册 4 2.3. 配置VSAN 6 2.4. 配置ZONESET 6 2.5. 配置ZONE 7 2.6. TRUNKING的配置 7 标准配置模板 8 常用检查命令 9 常用配置命令 9 5.1. 删除创建的ZONE 9 5.2. 清除配置 9 5.3. 设置配置口超时 10 5.4. 安装与清除license 10 5.5. 显示指定Licens
ASA配置命令
热门推荐
chentaocba的专栏
07-04 2万+
要想配置思科的防火墙得先了解这些命令:   常用命令有:nameif、interface、ip address、nat、global、route、static等。   global   指定公网地址范围:定义地址池。   Global命令的配置语法:   global (if_name) nat_id ip_address-ip_address [netmark global_mask]
CISCO DNAT(端口映射)的设置
weixin_34008805的博客
08-05 1892
CISCO DNAT(端口映射)的设置 实验拓扑如下: 实验目的:学习调试DNAT的配置,让192.168.1.0/24网段的地址可以用远程桌面到192.168.2.100上,中间不是走路由 走的是dnat。 实验要求:实现192.168.1.0/24网段可以通过远程桌面连接192.168.1.100这个IP连接到192.168.2.100上...
Cisco ASA防火墙原地址与目的地址NAT
weixin_34185512的博客
06-05 1971
1、网络拓扑信息2、网络地址基本配置 outside路由器: interface FastEthernet0/0 ip address 11.1.1.1 255.255.255.0 inside路由器 interface FastEthernet0/0 ip address 10.1.1.1 255.255.255.0 ip route 1.1.1.0 255.255.255.0 10....
思科防火墙ASA5520做NAT映射配置实例
sinat_41702786的博客
05-11 2万+
1、按照规划,先定义外网口、内网口,比如eth0/1为外网口,eth0/2为内网口:interface eth0/1nameif outside      //接口模式下配置nameif为outside,外网口security-level 0     //设备默认外网口的安全等级为0ip address 1.1.1.1 255.255.255.0  //配置外网口IP地址为1.1.1.1/24--...
防火墙ASA)上配置四种类型的NAT
weixin_33800593的博客
09-17 1861
前面已经介绍了网络地址转换(NAT)的原理和基于路由器的配置,ASA上的NAT配置相对于路由器来说要复制一些,ASA上的NAT有动态NAT、动态PAT、静态NAT、静态PAT。下面的链接是我以前写的NAT原理,在路由器上配置NAT的命令http://yangshufan.blog.51cto.com/13004230/1959448动态NAT 动态NAT将一组I...
思科ASA防火墙查看接口命令
04-12
以下是查看接口命令: 1. show interface:显示所有接口的状态。 2. show interface [interface-name]:显示具体接口的详细信息。 3. show interface ip brief:显示接口的IP地址、状态和协议信息。 4. show ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值