Брандмауер ASA не може маршрутизувати трафік. Вам потрібно замаскувати внутрішню адресу проти зовнішньої адреси.
Рішення 1: Лікування DNS зі статичним NAT
Скажімо, IP-адреса вашого зовнішнього веб-сайту 1.2.3.4, яка знову пересилається до порту (або безпосередньо NAT'ed) до внутрішньої IP-адреси 192.168.0.10. При лікуванні ДНС відбудеться таке:
- Клієнт із внутрішньої сторони запитує http://www.companyweb.com , що спочатку перекладається на 1.2.3.4
- ASA перехоплює пакет відповідей DNS і замінює запис A на 192.168.0.10
- Клієнт дуже задоволений, оскільки тепер може відкрити веб-сайт компанії :-)
Для отримання більш детальної інформації про те, як увімкнути це: http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a00807968d1.shtml
Рішення 2: Внутрішній DNS-сервер
Цей варіант корисний, якщо у вас є лише один зовнішній IP, і ви пересилаєте цей IP до багатьох внутрішніх сервісів на різних серверах (скажімо, порт 80 і 443 йде до 192.168.0.10, порт 25 переходить до 192.168.0.11 тощо).
Він не вимагає зміни конфігурації на ASA, але це вимагатиме від вас дублювати зовнішній домен на внутрішньому DNS-сервері (в Active Directory цей вбудований). Ви просто створюєте такі самі записи, як і зараз, лише за допомогою внутрішніх IP-адрес у службах, які ви маєте всередині країни.
"Рішення" 3: інтерфейс DMZ з відкритими IP-адресами
Я не збираюся детально описуватись на цьому, оскільки це вимагає, щоб ви отримали підмережу IP-адрес від вашого провайдера, спрямованого на ваш ASA. У наші дні дуже важко з голодом IPv4.