[請益] Cicso防火牆問題
最近得架設一台Cicso ASA 5510防火牆,架構大概是這樣:
interface gagabitethernet0/0:
nameif outside
ip address 123.123.123.81/255.255.255.240
interface gigabitethernet0/1:
nameif dmz
ip address 192.168.2.1/255.255.255.0
interface gigabitethernet0/2:
nameif inside
ipaddress 192.168.3.1/255.255.255.0
interface management0/0
nameif management
ipaddress 192.168.1.1/255.255.255.0
management-only
dmz這個介面接上一台switch,底下有三台要提供公開服務的web server,
inside這個介面會接上一台資料庫伺服器。
dmz這邊目前先接上一台web server1,這台web server1必須有兩個對外的ip。
(因為上面有兩個網站www.site90.com,www.site91.com,dns那裡已經設定了
www.site90.com => 123.123.123.90
www.site91.com => 123.123.123.91
因此這台web server1必須有兩個對外的ip)
我已經透過static policy-nat的方式解決了兩個外部ip對應到同一個內部ip
的問題,http://www.site90.com和http://www.site91.com都會連到dmz的web
server1上面的兩個個別網站去。直接操作web server1,也可以在上面往外連
(開瀏覽器可以瀏覽外部網站)。
現在問題來了:和上面完全相同的設定,只是單純把對外的ip換掉,換成
123.123.123.82和123.123.123.83(dns server那邊另外有A紀錄指向82,83
這兩個ip:
www.site82.com => 123.123.123.82
www.site83.com => 123.123.123.83)
一切就不通了=_= 從外部電腦開啟瀏覽器進入http://www.site82.com無法
瀏覽網站(應該不是www server軟體本身設定的問題)。反過來從web server1
上面也變成連不出去,在上面開瀏覽器瀏覽外部網站,整個出不去。
也就是說,防火牆裡面設定對外ip是90,91就正常,設定用82,83就出不去也
進不來(外部進來80 port都有設定開放,連出去則是預設都開放)。
如果我讓web server1不放在防火牆後面,直接接上對外的網路口,然後在
網卡上面綁82,83這兩個ip,一切又會正常,像這樣:
ip 123.123.123.82
mask 255.255.255.240
gw 123.123.123.94
我想不出問題在哪兒。82,83,90,91都是我們可以使用的ip,也沒有被佔用。
這兩組ip我能想到的唯一差別在於,82,83這兩個ip我「曾經」用來綁在
另外一台web server2上面然後run了一段時間。但是在我做以上防火牆設定
測試的時候,都有先把82,83這兩個ip從原本web server2的網卡上面釋放掉。
我進一步測試,發現只要是firewall裡面設定對外ip使用曾經被綁在
web server2的ip,結果都不通,使用不曾被綁在web server2的ip就會通。
(我使用那些被綁過的ip之前都有把這些ip先釋放出來)。
有沒有網管高手能夠從以上這些資料中看出問題可能出在哪兒呢?
請不吝賜教,謝謝!
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.132.153.19
推
06/18 14:13, , 1F
06/18 14:13, 1F
推
06/20 02:54, , 2F
06/20 02:54, 2F
→
06/20 02:55, , 3F
06/20 02:55, 3F
→
06/20 02:55, , 4F
06/20 02:55, 4F
→
06/20 02:56, , 5F
06/20 02:56, 5F
→
06/20 02:57, , 6F
06/20 02:57, 6F
→
06/20 02:58, , 7F
06/20 02:58, 7F
→
06/20 02:59, , 8F
06/20 02:59, 8F
討論串 (同標題文章)