designetwork

ネットワークを軸としたIT技術メモ

ASA5505で自宅Webサーバをインターネット公開

ASA5505で自宅のWebサーバをインターネットに公開するよう設定する。

前提条件

ASA5505 OS Ver.9.2(3) ASA5505をインターネット接続ブロードバンドルータとして使用
固定IPなしでPPPoE自動割り当てでインターネット接続 セキュリティレベルoutside:0 management(=inside):100
in<-->outはセキュリティレベルで制御

セキュリティ観点は一旦除外

追加設定

インターネットNAPTが設定されているASA5505に設定を追加する。

NAT設定

PPPoEで取得したoutsideインタフェース宛通信の宛先を変換する。

場所 送信元アドレス 送信元ポート 宛先アドレス 宛先ポート
インターネット上 Any(インターネットアドレス) Any 自宅PPPoE 9980※1
自宅内 Any(変換なし) Any(変換なし) Webサーバアドレス 80

※1 80でもよいが一応セキュリティ対策

ASA config

object network Web-01                             
 host 192.168.1.60
object service OpenWeb
 service tcp destination eq 9980
object service Web
 service tcp destination eq www

nat (outside,management) source static any any destination static interface Web-01 service OpenWeb Web 

FW設定

HTTP通信を許可する。ここでpermitするのはDestNAT後のPortになるのがポイント。

access-list Web extended permit tcp any any eq www  
access-group Web in interface outside

トラブルシューティング

単純に設定追加だけでは期待動作ができず試行錯誤した。結果、NAT設定順序の問題があったようだ。

NAT設定は、私の環境では通常のインターネットNAPTルールより上に設定しないと想定動作にならなかった。

nat (outside,management) source static any any destination static interface Web-01 service OpenWeb Web
nat (management,outside) source static any interface

ASDMで見るとこのようになる。

まとめ

Cisco ASA5505で自宅Webサーバをインターネット上に公開できた。