[EVE-NG] ASA - 외부에서 ASA(방화벽) DMZ 접속 (outside to dmz)

- Eve-ng 네트워크 설정은 Bridge로 내 PC IP와 같은 네트워크. (192.168.2.0/24) 

- 이번 Lab에서 192.168.2.0/24 공인 IP로 가정

- Outside쪽 Windows10 (172.16.10.10)에서 DMZ pWEB서버(192.168.30.100)에 접속 테스트

-  ASA Outside IP외 접속에 필요한 공인IP 필요 (Lab : 192.168.2.100)

1. 외부 윈도우에서 방화벽 내부 DMZ에 있는 WEB서버 접속 테스트

- ping 테스트를 위해 윈도우10 방화벽 해제

- ISP_R1 IP설정

interface GigabitEthernet0/0
 ip address 192.168.2.12 255.255.255.0
 no shutdown
!
interface GigabitEthernet0/1
 ip address 172.16.10.1 255.255.255.0
no shutdown

2. ASA 기본 설정

interface GigabitEthernet0/0 
 nameif outside
 security-level 0 
 ip address 192.168.2.11 255.255.255.0  
! 
interface GigabitEthernet0/1 
 nameif inside 
 security-level 100 
 ip address 192.168.130.1 255.255.255.0  
! 
interface GigabitEthernet0/2 
 nameif dmz 
 security-level 100 
 ip address 192.168.30.1 255.255.255.0  
!
route outside 172.16.10.0 255.255.255.0 192.168.2.12 1
!
object network PUBLIC_WEB
 host 192.168.2.100

object network pWEB
host 192.168.30.100
!

3. ASA Access List 및 NAT 설정

access-list outside_access_in extended permit ip any object pWEB
access-group outside_access_in in interface outside
!
nat (dmz,outside) source static pWEB PUBLIC_WEB

- ASDM에서 재확인

Objects

Access Rule

NAT

---

- FMC 버젼으로 확인 (Lab에서 Ping Loss 발생)

 

Access Rule

NAT

---

- FDM 버젼으로 확인

---

✔ 검증

- Windows 10 에서 Web서버 접속

- ASDM에서 확인

(공인 IP (192.168.2.100)로 접속했지만 내부 IP (192.168.30.100)로 NAT되어 Web서버 접속) 

ASA NAT동작 확인

 

✔ 참조 (Cisco 로그인 필요)

Basic ASA NAT Configuration: Web Server in the DMZ in ASA Version 8.3 and Later