Cisco ASA statikus NAT konfiguráció
a lecke tartalma
az előző leckékben elmagyaráztam, hogyan használhatja a dynamic NAT vagy a PAT alkalmazást, hogy a hálózat belsejében lévő gazdagépek vagy szerverek hozzáférhessenek a külvilághoz. Ez nagyszerű, de csak a kimenő forgalomra vagy az “ASA terminológiára”vonatkozik…a magasabb biztonsági szintről az alacsonyabb biztonsági szintre történő forgalom.
mi van, ha egy külső gazdagép az Interneten el akarja érni a belső szerverünket vagy a DMZ-t? Ez csak dinamikus NAT vagy PAT esetén lehetetlen. Ha ezt el akarjuk érni, két dolgot kell tennünk:
- állítsa be a statikus NAT-ot úgy, hogy a belső kiszolgáló elérhető legyen egy külső nyilvános IP-címen keresztül.
- hozzáférési lista konfigurálása a forgalom engedélyezéséhez.
a statikus NAT bemutatásához a következő topológiát fogom használni:
fent van ASA tűzfal két interfésszel; az egyik a DMZ-hez, a másik a külvilághoz. Képzelje el, hogy az R1 egy webszerver a DMZ-n, míg az R2 egy olyan gazdagép az interneten, amely el akarja érni a webszerverünket. Állítsuk be a tűzfalunkat úgy, hogy ez lehetséges legyen…
statikus NAT konfiguráció
először létrehozunk egy hálózati objektumot, amely meghatározza a” webszerverünket ” a DMZ-ben, és konfiguráljuk azt is, hogy milyen IP-címre kell lefordítani. Ez a konfiguráció az ASA 8.3-as vagy újabb verziójára vonatkozik:
ASA1(config)# object network WEB_SERVERASA1(config-network-object)# host 192.168.1.1ASA1(config-network-object)# nat (DMZ,OUTSIDE) static 192.168.2.200
a fenti konfiguráció azt mondja az ASA-nak, hogy amikor egy külső eszköz csatlakozik a 192.168.2.200 IP-címhez, azt le kell fordítani a 192.168.1.1 IP-címre. Ez gondoskodik a NAT-ról, de még mindig létre kell hoznunk egy hozzáférési listát, különben a forgalom csökken:
ASA1(config)# access-list OUTSIDE_TO_DMZ extended permit tcp any host 192.168.1.1
a fenti hozzáférési lista lehetővé teszi, hogy bármely forrás IP-címe csatlakozzon a 192.168.1.1 IP-címhez. Az ASA 8.3-as vagy újabb verziójának használatakor meg kell adnia a “valódi” IP-címet, nem pedig a “NAT lefordított” címet. Aktiváljuk ezt a hozzáférési listát:
ASA1(config)# access-group OUTSIDE_TO_DMZ in interface OUTSIDE
ez lehetővé teszi a hozzáférési listát a külső felületen. Nézzük telnet R2 R1 TCP port 80, hogy ha működik:
R2#telnet 192.168.2.200Trying 192.168.2.200 ... Open
nagyszerű, képesek vagyunk csatlakozni R2-ről R1-re, vessünk egy pillantást az ASA-ra, hogy ellenőrizzünk néhány dolgot:
ASA1# show xlate1 in use, 1 most usedFlags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap, s - static, T - twice, N - net-to-netNAT from DMZ:192.168.1.1 to OUTSIDE:192.168.2.200 flags s idle 0:08:44 timeout 0:00:00
ASA1# show access-listaccess-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300access-list OUTSIDE_TO_DMZ; 1 elements; name hash: 0xe96c1ef3access-list OUTSIDE_TO_DMZ line 1 extended permit tcp any host 192.168.1.1 eq www (hitcnt=6) 0x408b914e
fent látható a statikus NAT bejegyzés, valamint a hit az access-lista. Minden úgy működik, ahogy kellene.
statikus NAT a teljes alhálózatra
az előző példa rendben volt, ha csak néhány szerverünk van, mivel létrehozhatunk néhány statikus NAT fordítást, és ezzel el is végezhetjük. Van azonban egy másik lehetőség is, az is lehetséges, hogy egy teljes alhálózatot lefordítson egy teljes IP-címkészletre. Hadd mondjak egy példát arra, amiről beszélek:
a fenti topológia pontosan megegyezik az előző példával, de hozzáadtam az R3-at a DMZ-hez. Most képzelje el, hogy az internetszolgáltatónk IP-címeket adott nekünk, mondjuk 10.10.10.0 /24. Ezt a készletet felhasználhatjuk a DMZ összes szerverének lefordítására, hadd mutassam meg, hogyan: