Cisco ASA statische NAT-Konfiguration
Unterrichtsinhalte
In früheren Lektionen habe ich erklärt, wie Sie dynamisches NAT oder PAT verwenden können, damit Ihre Hosts oder Server im Inneren Ihres Netzwerks auf die Außenwelt zugreifen können. Dies ist großartig, aber nur für ausgehenden Datenverkehr oder in der “ASA-Terminologie” … Datenverkehr von einer höheren Sicherheitsstufe zu einer niedrigeren Sicherheitsstufe.
Was ist, wenn ein externer Host im Internet einen Server in unserer internen oder DMZ erreichen möchte? Dies ist nur mit dynamischem NAT oder PAT unmöglich. Wenn wir dies erreichen wollen, müssen wir zwei Dinge tun:
- Konfigurieren Sie static NAT so, dass der interne Server über eine externe öffentliche IP-Adresse erreichbar ist.
- Konfigurieren Sie eine Zugriffsliste, damit der Datenverkehr zugelassen wird.
Um statisches NAT zu demonstrieren, verwende ich die folgende Topologie:
Oben haben wir unsere ASA-Firewall mit zwei Schnittstellen; eine für die DMZ und eine andere für die Außenwelt. Stellen Sie sich vor, R1 ist ein Webserver in der DMZ, während R2 ein Host im Internet ist, der unseren Webserver erreichen möchte. Lassen Sie uns unsere Firewall so konfigurieren, dass dies möglich ist…
Statische NAT-Konfiguration
Zuerst erstellen wir ein Netzwerkobjekt, das unseren “Webserver” in der DMZ definiert und auch konfiguriert, an welche IP-Adresse es übersetzt werden soll. Diese Konfiguration gilt für ASA Version 8.3 und höher:
ASA1(config)# object network WEB_SERVERASA1(config-network-object)# host 192.168.1.1ASA1(config-network-object)# nat (DMZ,OUTSIDE) static 192.168.2.200
Die obige Konfiguration teilt der ASA mit, dass jedes Mal, wenn ein externes Gerät eine Verbindung zur IP-Adresse 192.168.2.200 herstellt, es in die IP-Adresse 192.168.1.1 übersetzt werden soll. Dies kümmert sich um NAT, aber wir müssen noch eine Zugriffsliste erstellen, sonst wird der Datenverkehr gelöscht:
ASA1(config)# access-list OUTSIDE_TO_DMZ extended permit tcp any host 192.168.1.1
Die obige Zugriffsliste ermöglicht es jeder Quell-IP-Adresse, sich mit der IP-Adresse 192.168.1.1 zu verbinden. Wenn Sie ASA Version 8.3 oder höher verwenden, müssen Sie die “echte” IP-Adresse angeben, nicht die “NAT-übersetzte” Adresse. Lassen Sie uns diese Zugriffsliste aktivieren:
ASA1(config)# access-group OUTSIDE_TO_DMZ in interface OUTSIDE
Dies ermöglicht die Zugriffsliste auf der externen Schnittstelle. Lassen Sie uns telnet von R2 nach R1 auf TCP-Port 80, um zu sehen, ob es funktioniert:
R2#telnet 192.168.2.200Trying 192.168.2.200 ... Open
Großartig, wir können eine Verbindung von R2 zu R1 herstellen, werfen wir einen Blick auf die ASA, um einige Dinge zu überprüfen:
ASA1# show xlate1 in use, 1 most usedFlags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap, s - static, T - twice, N - net-to-netNAT from DMZ:192.168.1.1 to OUTSIDE:192.168.2.200 flags s idle 0:08:44 timeout 0:00:00
ASA1# show access-listaccess-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300access-list OUTSIDE_TO_DMZ; 1 elements; name hash: 0xe96c1ef3access-list OUTSIDE_TO_DMZ line 1 extended permit tcp any host 192.168.1.1 eq www (hitcnt=6) 0x408b914e
Oben sehen Sie den statischen NAT-Eintrag und auch den Treffer in der Zugriffsliste. Alles funktioniert so, wie es sein soll.
Statisches NAT für das gesamte Subnetz
Das vorherige Beispiel war in Ordnung, wenn Sie nur wenige Server haben, da Sie einige statische NAT-Übersetzungen erstellen und damit fertig sind. Es gibt jedoch eine andere Option, es ist auch möglich, ein ganzes Subnetz in einen ganzen Pool von IP-Adressen zu übersetzen. Lassen Sie mich Ihnen ein Beispiel geben, wovon ich spreche:
Die obige Topologie ist genau die gleiche wie im vorherigen Beispiel, aber ich habe der DMZ R3 hinzugefügt. Stellen Sie sich nun vor, unser ISP hat uns einen Pool von IP-Adressen gegeben, sagen wir 10.10.10.0 / 24. Wir können diesen Pool verwenden, um alle Server in der DMZ zu übersetzen, lassen Sie mich Ihnen zeigen, wie: