Frage : DMZ Zugang zu Öffentlichkeit URL das NAT'ed zum internen OWA Wirt

Ich habe Cisco ASA, die mit drei Schnittstellen zusammenbaute: LAN (100), DMZ (50) und FAHLES (0).  In meinem LAN habe ich zwei Bediener, die OWA/HTTPS (192.168.254.25) und RDP (192.168.254.3) bewirten.  Alle LAN-Wirte sind NAT, zum der FAHLEN Schnittstelle zu überbelasten.  Selben wie Wirte im DMZ.  Weder haben DMZ Wirte noch LAN-Wirte Zugang zu gegenseitig.  

OWA wird statisch von der FAHLEN Adresse von x.x.x.2 abgebildet.  Abgebildete Adresse RDPS Static ist x.x.x.3 von der Außenseite.  Ich habe ein kleines Labor (angebrachte Akte sehen), dass mich erlaubt gegründet, um OWA und auf RDP über ihre allgemeinen URL sowie allgemeine IP address zurückzugreifen.  Zusätzlich habe ich auch fähiges zu RDP vom DMZ using das Öffentlichkeit URL und das IP, die/angeschlossen an meinen internen RDP-Bediener (192.168.254.3) abbildeten.  

The Problem, das ich jetzt mache und das Versuchen, herauszufinden ist, warum ich nicht imstande bin, an mein internes OWA/HTTPS vom DMZ über sein Öffentlichkeit URL und IP address anzuschließen.  Die angebrachten ASAconfig und das topology.

Thanks.

lab-topology.png (62 KBs) (Akten-Art Details)

Lab Topology

asa5510-6-24-10.txt (4 KBs) (Akten-Art Details)

ASA 5510 config

Antwort : DMZ Zugang zu Öffentlichkeit URL das NAT'ed zum internen OWA Wirt

>%ASA-7-710005: UDP-Antrag wegwarf von 192.168.10.3 /138 zu DMZ 38: 192.168.10.255 /138

Diese sind lokale NetBios-Sendungen, die einfach auf die Schnittstelle der ASA weggeworfen, weil die ASA nichts mit ihnen nicht tun kann.

Diese Maschinenbordbuchmitteilung einfach sperren:
 keine Protokollierungsmitteilung 710005

--------------

Vom DMZ was sind Sie verwendend, damit DNS-Entschließung an das Öffentlichkeit IP des OWA Bedieners gelangt? Ist sie Einheimisches oder „fremdes“?

------------
Dieses ist, was Sie versuchen, zu tun, Art von….
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968c8.shtml

Etwas hier verfehlend, denke ich.

statisches (LAN, LAN) xx.xx.xx.2 192.168.254.25 netmask 255.255.255.255
statisches (LAN, FAHL) xx.xx.xx.3 192.168.254.3 netmask 255.255.255.255
statisches (LAN, LAN) xx.xx.xx.3 192.168.254.3 netmask 255.255.255.255
statisches (LAN, DMZ) xx.xx.xx.3 192.168.254.3 netmask 255.255.255.255
statisches (LAN, DMZ) xx.xx.xx.2 192.168.254.25 netmask 255.255.255.255

Sollte sein:
statisches (LAN, LAN) xx.xx.xx.2 192.168.254.25 netmask 255.255.255.255
statisches (LAN, FAHL) xx.xx.xx.2 192.168.254.25 netmask 255.255.255.255 DNS <>
statisches (LAN, LAN) xx.xx.xx.3 192.168.254.3 netmask 255.255.255.255
statisches (LAN, FAHL) xx.xx.xx.3 192.168.254.3 netmask 255.255.255.255 DNS <>
statisches (LAN, DMZ) xx.xx.xx.3 192.168.254.3 netmask 255.255.255.255
statisches (LAN, DMZ) xx.xx.xx.2 192.168.254.25 netmask 255.255.255.255

---------------------------
>Warum erlauben Sie Verkehr von DMZ zu internem LAN?  Nicht ist diese Niederlage der Sicherheitszweck
Brunnen… gewöhnlich, haben wir keine „Benutzer“ in den DMZ, die auf einen Bediener im Innere zurückgreifen müssen. Im Allgemeinen, ist das DMZ nur für öffentlich zugängliche Bediener, und wir können eine Notwendigkeit haben, auf jene Bediener aus Benutzern heraus durch ihre DNS/public IP address zurückzugreifen (wegen der Politik als Techniken). der ist der Zweck der Verbindung, die ich oben bekannt gab.

So ist die Frage zurück zu Ihnen: Warum haben Sie Benutzer in den DMZ, die dieses OWA oder auf RDP zurückgreifen müssen?