Cisco ASA静的NAT設定

by Posted on

レッスン内容

以前のレッスンでは、動的NATまたはPATを使用して、ネットワーク内のホストまたはサーバーが外界にアクセスできるようにする方法を説明しました。 これは素晴らしいですが、それはアウトバウンドトラフィックのためだけですか、”ASA用語”…より高いセキュリティレベルからより低いセキュリテ

インターネット上の外部ホストが内部またはDMZ上のサーバーに到達したい場合はどうなりますか? これは、動的NATまたはPATのみでは不可能です。 これを達成したいときは、二つのことをしなければなりません:

  • 内部サーバが外部パブリックIPアドレスを介して到達可能になるように静的NATを設定します。
  • トラフィックが許可されるようにアクセスリストを設定します。

静的NATを示すために、次のトポロジを使用します:

DMZ R1R2外のASA1上に私達に2つのインターフェイスが付いている私達のASAの防火壁があります;DMZのための1つおよび外の世界のためのもう1つ。 R1がDMZ上のwebサーバーであり、R2がインターネット上のwebサーバーに到達したいホストであると想像してください。 これが可能になるようにファイアウォールを設定しましょう…

静的NAT設定

まず、DMZに「webサーバー」を定義するネットワークオブジェクトを作成し、変換すべきIPア この設定は、ASAバージョン8.3以降用です。:

ASA1(config)# object network WEB_SERVERASA1(config-network-object)# host 192.168.1.1ASA1(config-network-object)# nat (DMZ,OUTSIDE) static 192.168.2.200

上記の設定では、外部デバイスがIPアドレス192.168.2.200に接続するたびに、IPアドレス192.168.1.1に変換する必要があることをASAに指示します。 これはNATを処理しますが、まだアクセスリストを作成する必要があります。:

ASA1(config)# access-list OUTSIDE_TO_DMZ extended permit tcp any host 192.168.1.1

上記のアクセスリストを使用すると、任意の送信元IPアドレスをIPアドレス192.168.1.1に接続できます。 ASAバージョン8.3以降を使用する場合は、「NAT変換された」アドレスではなく、「実際の」IPアドレスを指定する必要があります。 このアクセスリストを有効にしましょう:

ASA1(config)# access-group OUTSIDE_TO_DMZ in interface OUTSIDE

これは外部インターフェイスのaccess-listを有効にします。 それが動作するかどうかを確認するために、TCPポート80でr2からR1にtelnetしてみましょう:

R2#telnet 192.168.2.200Trying 192.168.2.200 ... Open

素晴らしい、私たちはR2からR1に接続することができます、いくつかのことを確認するためにASAを見てみましょう:

ASA1# show xlate1 in use, 1 most usedFlags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap, s - static, T - twice, N - net-to-netNAT from DMZ:192.168.1.1 to OUTSIDE:192.168.2.200 flags s idle 0:08:44 timeout 0:00:00
ASA1# show access-listaccess-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300access-list OUTSIDE_TO_DMZ; 1 elements; name hash: 0xe96c1ef3access-list OUTSIDE_TO_DMZ line 1 extended permit tcp any host 192.168.1.1 eq www (hitcnt=6) 0x408b914e

上記の静的NATエントリとアクセスリストのヒットを見ることができます。 それがあることになっているようにすべてが働いています。

サブネット全体の静的NAT

前の例は、静的NAT変換をいくつか作成して実行できるため、サーバーが数台しかない場合は問題ありませんでした。 別のオプションがありますが、サブネット全体をIPアドレスのプール全体に変換することもできます。 私が話していることの例を挙げてみましょう:ASA1-R1-r3-dmz-r2-outside上記のトポロジは前の例とまったく同じですが、DMZにR3を追加しました。 今、私たちのISPが私たちにIPアドレスのプールを与えたと想像してみてください、10.10.10.0/24としましょう。 このプールを使用して、DMZ内のすべてのサーバーを翻訳することができます。

Published by admin

コメントを残す

メールアドレスが公開されることはありません。