Cisco ASA Hairpinning с динамическим IP
Если Вы делаете его через T-SQL:
Предоставление Windows Login способности соединиться с SQL Server:
CREATE LOGIN [Domain\User] FROM WINDOWS;
или
CREATE LOGIN [Domain\Group] FROM WINDOWS;
Если основанный на SQL Server вход в систему:
CREATE LOGIN [LoginName] WITH PASSWORD = 'SomePassword';
После этого можно сделать одну из двух вещей. Можно добавить его к членству фиксированной роли сервера системного администратора с помощью sp_addsrvrolemember:
EXEC sp_addsrvrolemember 'LoginName', 'sysadmin';
или можно дать разрешения СЕРВЕРА УПРАВЛЕНИЯ ВХОДОМ В СИСТЕМУ:
GRANT CONTROL SERVER TO [LoginName];
Я задающийся вопросом, почему клиенты позади внутреннего интерфейса должны ввести Общедоступный IP, не был бы он быть легче для них использовать частный IP хоста демилитаризованной зоны. Затем Вы могли сделать нормальное туземное, например.
статичный (dmz, внутри) tcp (В диапазоне IP) www 192.168.1.5 www сетевых маски 255.255.255.255
Насколько я получаю его, проблема в Вашем случае, что, когда клиент делает запрос DNS, сервер DNS из Интернета дает ему текущий внешний IP-адрес ASA назад. После этого Клиент пытается Соединиться с тем IP, таким образом, пакет отправляется в интерфейс Outside и должен возвратиться к интерфейсу DMZ.
Брандмауэры Cisco имеют одну проблему на значение по умолчанию, которое они никогда не дают пакету из того же интерфейса, они вкладывают его. Cisco решила это начиная с 7,2 выпусков со следовать командой CLI:
ASA (конфигурация) # same-security-traffic разрешает внутриинтерфейс
таким образом, насколько я понимаю, что Вы обошли exectaly что поведение путем добавления второго статического NAT. По-моему, при удалении второй записи NAT и активный same-security-traffic опция она должна работать.
Но я настоятельно рекомендовал бы, чтобы Вы купили общедоступный IP :-)
-
1Cisco включает ' DNS Doctoring' также названный DNS переписывают, который переписывает ответы от внешнего сервера DNS до внутреннего адреса так пакеты don' t имеют к шпильке внешний интерфейс. Это требует записи DNS все же. Не уверенный, если это работало бы с Динамической записью DNS, так как переписанный результат кэшируется. – Martijn Heemels 27 March 2010 в 02:22
Я думаю единственный ответ, который Вы собираетесь получить, нет.
Нет никакого способа, которым ACL или инструкция NAT могут составлять изменяющийся IP-адрес, этого просто не может произойти.
-
1That' s странный. Мой старый брандмауэр, Топка WatchGuard, сделал это очень хорошо. Это было на самом деле поведение по умолчанию. – Joseph Sturtevant 9 June 2009 в 21:31
На самом деле Вы могли заставить его работать с внутренними изменениями DNS.
Скажем, например, у Вас есть несколько сервисов:
static (dmz,outside) tcp interface www 192.168.1.5 www netmask 255.255.255.255
static (dmz,outside) tcp interface smtp 192.168.1.6 www netmask 255.255.255.255
static (dmz,outside) tcp interface ftp 192.168.1.9 www netmask 255.255.255.255
Скажем, Вы имеете example.org резкое использование динамического поставщика DNS к Вашему постоянно меняющемуся общедоступному IP-адресу.
Можно выполнить внутреннее указание сервера имен example.org в, скажем, 192.168.1.254, и использование следующее:
static (dmz,inside) tcp 192.168.1.254 www 192.168.1.5 www netmask 255.255.255.255
static (dmz,inside) tcp 192.168.1.254 smtp 192.168.1.6 www netmask 255.255.255.255
static (dmz,inside) tcp 192.168.1.254 ftp 192.168.1.9 www netmask 255.255.255.255
Затем Вы указываете на свои клиенты на Ваш внутренний сервер имен и имеете в нем.
Протест состоит в том, что для каждого нового сервиса Вы добавляете, необходимо будет настроить помехи для внутренней сети и помехи для внешнего интерфейса, а также признавая это в ACLs от как внутри, так и снаружи. Однако, когда Ваши общедоступные изменения IP, Ваш трафик все еще пойдет, где Вы хотите, чтобы он пошел.