Cisco ASA Statické NAT Konfigurace

Obsah Lekce

V předchozích lekcích jsem vysvětlil, jak můžete použít dynamický NAT nebo PAT tak, že vaši hostitelé nebo servery uvnitř sítě jsou schopny přístup k vnějšímu světu. To je skvělé, ale je to jen pro odchozí provoz nebo v “terminologii ASA” … provoz z vyšší úrovně zabezpečení na nižší úroveň zabezpečení.

co když se externí hostitel na internetu chce dostat na server uvnitř nebo DMZ? To je nemožné pouze s dynamickým NAT nebo PAT. Když toho chceme dosáhnout, musíme udělat dvě věci:

  • nakonfigurujte statickou NAT tak, aby byl interní server dosažitelný prostřednictvím vnější veřejné IP adresy.
  • nakonfigurujte přístupový seznam tak, aby byl provoz povolen.

K prokázání statické NAT budu používat následující topologie:

ASA1 Mimo DMZ R1 R2Výše máme ASA firewall s dvě rozhraní, jeden pro DMZ a další pro vnější svět. Představte si, že R1 je webový server na DMZ, zatímco R2 je nějaký hostitel na internetu, který se chce dostat na náš webový server. Pojďme nakonfigurovat firewall tak, že to je možné…

Static NAT Konfigurace

Nejprve vytvoříme síť objektu, která definuje naše “webserver” v DMZ a také nastavit na jakou IP adresu to by mělo být přeloženy. Tato konfigurace je pro ASA verze 8.3 a novější:

ASA1(config)# object network WEB_SERVERASA1(config-network-object)# host 192.168.1.1ASA1(config-network-object)# nat (DMZ,OUTSIDE) static 192.168.2.200

výše uvedená konfigurace říká ASA, že kdykoli se externí zařízení připojí k IP adrese 192.168.2.200, mělo by být přeloženo na IP adresu 192.168.1.1. To se stará o NAT, ale stále musíme vytvořit přístupový seznam nebo provoz bude zrušen:

ASA1(config)# access-list OUTSIDE_TO_DMZ extended permit tcp any host 192.168.1.1

výše uvedený přístupový seznam umožňuje připojení jakékoli zdrojové IP adresy k IP adrese 192.168.1.1. Při použití ASA verze 8.3 nebo novější musíte zadat “skutečnou” IP adresu, nikoli adresu” Nat translated”. Aktivujme tento přístupový seznam:

ASA1(config)# access-group OUTSIDE_TO_DMZ in interface OUTSIDE

to umožňuje přístupový seznam na vnějším rozhraní. Pojďme telnet z R2 do R1 na TCP port 80, aby zjistil, jestli to funguje:

R2#telnet 192.168.2.200Trying 192.168.2.200 ... Open

Skvělé, jsme schopni se připojit z R2 do R1, pojďme se podívat na ASA ověřit pár věcí:

ASA1# show xlate1 in use, 1 most usedFlags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap, s - static, T - twice, N - net-to-netNAT from DMZ:192.168.1.1 to OUTSIDE:192.168.2.200 flags s idle 0:08:44 timeout 0:00:00
ASA1# show access-listaccess-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300access-list OUTSIDE_TO_DMZ; 1 elements; name hash: 0xe96c1ef3access-list OUTSIDE_TO_DMZ line 1 extended permit tcp any host 192.168.1.1 eq www (hitcnt=6) 0x408b914e

nahoře vidíte statickou položku NAT a také hit v seznamu přístupů. Všechno funguje tak, jak má být.

statický NAT pro celou podsíť

předchozí příklad byl v pořádku, pokud máte jen několik serverů, protože můžete vytvořit několik statických překladů NAT a provést s ním. Existuje však i jiná možnost, je také možné přeložit celou podsíť do celé skupiny IP adres. Dovolte mi uvést příklad toho, o čem mluvím:

 ASA1-R1-R3-dmz-R2-mimotopologie výše je přesně stejná jako předchozí příklad, ale do DMZ jsem přidal R3. Nyní si představte, že náš ISP nám dal skupinu IP adres, řekněme 10.10.10.0 / 24. Tento fond můžeme použít k překladu všech serverů v DMZ, dovolte mi ukázat vám, jak:

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.