ASA5505で自宅のWebサーバをインターネットに公開するよう設定する。
前提条件
ASA5505 OS Ver.9.2(3)
ASA5505をインターネット接続ブロードバンドルータとして使用
固定IPなしでPPPoE自動割り当てでインターネット接続
セキュリティレベルoutside:0 management(=inside):100
in<-->outはセキュリティレベルで制御
セキュリティ観点は一旦除外
追加設定
インターネットNAPTが設定されているASA5505に設定を追加する。
NAT設定
PPPoEで取得したoutsideインタフェース宛通信の宛先を変換する。
場所 | 送信元アドレス | 送信元ポート | 宛先アドレス | 宛先ポート |
---|---|---|---|---|
インターネット上 | Any(インターネットアドレス) | Any | 自宅PPPoE | 9980※1 |
自宅内 | Any(変換なし) | Any(変換なし) | Webサーバアドレス | 80 |
※1 80でもよいが一応セキュリティ対策
ASA config
object network Web-01 host 192.168.1.60 object service OpenWeb service tcp destination eq 9980 object service Web service tcp destination eq www nat (outside,management) source static any any destination static interface Web-01 service OpenWeb Web
FW設定
HTTP通信を許可する。ここでpermitするのはDestNAT後のPortになるのがポイント。
access-list Web extended permit tcp any any eq www access-group Web in interface outside
トラブルシューティング
単純に設定追加だけでは期待動作ができず試行錯誤した。結果、NAT設定順序の問題があったようだ。
NAT設定は、私の環境では通常のインターネットNAPTルールより上に設定しないと想定動作にならなかった。
nat (outside,management) source static any any destination static interface Web-01 service OpenWeb Web nat (management,outside) source static any interface
ASDMで見るとこのようになる。
まとめ
Cisco ASA5505で自宅Webサーバをインターネット上に公開できた。