cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
Avisos
¡Bienvenido a la nueva Comunidad de Soporte de Cisco! Nos encantaría conocer su opinión
New Member

Como Publicar Servidores Web a través 2901(Balanceador) y asa5520

Buen día

Quiero pedirles ayuda con el siguiente escenario:

Internet >>Modem1 (Ip Fija) >>                                                               >>>Servicios FTP/Streaming (Inside)

                                               >>>Balanceador(Cisco2901)>>>>Firewall(ASA520)

Internet >> Modem2 (IP Fija)>>                                                               >>>Servicios WEB ( dmz)

Necesito publicar hacia Internet unos servidores web que están en la dmz del Firewall, con el ADSM ya lo hice gráficamente ..pero me falta hacerlo en el Balanceador..que no tengo idea..como...

SI alguno me puede echar un cable de como seria la Redirección de puertos desde las respectivas interfaces..

Gracias de antemano..

3 RESPUESTAS
Cisco Employee

Para el tráfico de salida, la

Para el tráfico de salida, la configuración que buscas se llama Multi-Homed NAT y puedes encontrar un ejemplo en el siguiente link:

http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/99427-ios-nat-2isp.html

El tráfico de entrada hacia tus servidores requiere una configuración de NAT estático con route-map para diferenciar de acuerdo a la interfaz que se use en el ruteo, como en este ejemplo:

https://supportforums.cisco.com/document/26021/how-configure-static-nat-route-maps

De manera general ese es el tipo de configuración que necesitarías, pero hay muchas variaciones que dependen de lo que estás buscando realizar. ¿Podrías explicar un poco más qué es lo que estás buscando hacer?

New Member

Bueno..leyendo aquí y allá.

Bueno..leyendo aquí y allá..probando lo que hice en el balanceador 2901 fue lo siguiente..

ip nat inside source static tcp 192.168.10.2 80 interface FastEthernet0/0/0 80
ip nat inside source static tcp 192.168.10.2 8000 interface FastEthernet0/0/0 8000
ip nat inside source static tcp 192.168.10.2 443 interface FastEthernet0/0/0 443
ip nat inside source static tcp 192.168.10.2 32400 interface FastEthernet0/0/0 32400
ip nat inside source static tcp 192.168.10.2 21 interface FastEthernet0/0/0 21
ip nat inside source static tcp 192.168.10.2 5222 interface FastEthernet0/0/1 5222

y lo que hice en el FIREWALL-ASA5520 v8.2(5) fue lo siguiente..

access-list outside_access remark Servidor WEB_INSIDE
access-list outside_access extended permit tcp any interface outside eq www
access-list outside_access remark Servidor ICECAST
access-list outside_access extended permit tcp any interface outside
access-list outside_access remark Servidor OWNCLOUD
access-list outside_access extended permit tcp any interface outside eq https
access-list outside_access remark Servidor PLEX
access-list outside_access extended permit ip any interface outside
access-list outside_access remark Servidor FTP
access-list outside_access extended permit tcp any interface outside eq ftp

!

!

static (inside,outside) tcp interface www Owncloud www netmask 255.255.255.255
static (inside,outside) tcp interface 8000 www.lacastellaza.co 8000 netmask 255.255.255.255
static (inside,outside) tcp interface https Owncloud https netmask 255.255.255.255
static (inside,outside) tcp interface 32400 Owncloud 32400 netmask 255.255.255.255
static (inside,outside) tcp interface ftp Owncloud ftp netmask 255.255.255.255

access-group outside_access in interface outside

y ya con estas lineas tengo transito de mis servidores hacia Internet.

No se que mas podría ver en cuanto a seguridad...

Cisco Employee

La configuración se ve muy

La configuración se ve muy bien. El firewall por defecto cierra todo tráfico que venga de la interfaz "outside" y permite solo aquel que fue generado desde la LAN. Con tu configuración, solo permites el acceso a los puertos que requieres en tus servidores y nada más. La seguridad de tu red interna y servidores la realizará el Firewall sin problemas con la configuración que ya tienes.

En el router asegúrate de deshabilitar acceso externo por telnet, http y https para evitar que alguien quiera atacar al equipo mismo desde Internet por esos puertos (80, 443, 23):

no ip http server

no ip https secure-server

line vty 0 4

transport input ssh

33
Visitas
9
ÚTIL
3
Respuestas