Cisco ASA Static NAT configuratie
inhoud van de les
in eerdere lessen heb ik uitgelegd hoe je dynamic NAT of PAT kunt gebruiken, zodat je hosts of servers aan de binnenkant van je netwerk toegang hebben tot de buitenwereld. Dit is geweldig, maar het is alleen voor uitgaand verkeer of in “ASA terminologie” … verkeer van een hoger beveiligingsniveau gaat naar een lager beveiligingsniveau.
wat als een externe host op het Internet een server op onze binnen of DMZ wil bereiken? Dit is onmogelijk met alleen dynamische NAT of PAT. Als we dit willen bereiken, moeten we twee dingen doen.:
- stel statische NAT zo in dat de interne server bereikbaar is via een extern openbaar IP-adres.
- Configureer een access-list zodat het verkeer is toegestaan.
om statisch aan te tonen zal NAT I de volgende topologie gebruiken:
hierboven hebben we onze ASA firewall met twee interfaces; een voor de DMZ en een andere voor de buitenwereld. Stel je voor dat R1 een webserver is op de DMZ terwijl R2 een host is op het Internet die onze webserver wil bereiken. Laten we onze firewall zo instellen dat dit mogelijk is…
statische NAT configuratie
eerst zullen we een netwerkobject maken dat onze “webserver” definieert in de DMZ en ook configureren naar welk IP-adres het moet worden vertaald. Deze configuratie is voor ASA versie 8.3 en hoger:
ASA1(config)# object network WEB_SERVERASA1(config-network-object)# host 192.168.1.1ASA1(config-network-object)# nat (DMZ,OUTSIDE) static 192.168.2.200
de configuratie hierboven vertelt de ASA dat wanneer een extern apparaat verbinding maakt met IP adres 192.168.2.200 dat het moet worden vertaald naar IP adres 192.168.1.1. Dit zorgt voor NAT, maar we moeten nog steeds een toegangslijst maken of het verkeer zal worden geschrapt:
ASA1(config)# access-list OUTSIDE_TO_DMZ extended permit tcp any host 192.168.1.1
met de access-list hierboven kan elk bron-IP-adres verbinding maken met IP-adres 192.168.1.1. Bij gebruik van ASA versie 8.3 of hoger moet je het “echte” IP adres opgeven, niet het” NAT vertaalde ” adres. Laten we deze access-list activeren:
ASA1(config)# access-group OUTSIDE_TO_DMZ in interface OUTSIDE
dit activeert de access-list op de externe interface. Laten we telnet van R2 naar R1 op tcp poort 80 om te zien of het werkt:
R2#telnet 192.168.2.200Trying 192.168.2.200 ... Open
geweldig, we zijn in staat om verbinding te maken van R2 naar R1, laten we eens kijken naar de ASA om een aantal dingen te verifiëren:
ASA1# show xlate1 in use, 1 most usedFlags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap, s - static, T - twice, N - net-to-netNAT from DMZ:192.168.1.1 to OUTSIDE:192.168.2.200 flags s idle 0:08:44 timeout 0:00:00
ASA1# show access-listaccess-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300access-list OUTSIDE_TO_DMZ; 1 elements; name hash: 0xe96c1ef3access-list OUTSIDE_TO_DMZ line 1 extended permit tcp any host 192.168.1.1 eq www (hitcnt=6) 0x408b914e
hierboven ziet u de static NAT ingang en ook de hit op de access-list. Alles werkt zoals het hoort te zijn.
statische NAT voor het gehele subnet
het vorige voorbeeld was prima als je maar een paar servers hebt, omdat je een paar statische nat-vertalingen kunt maken en ermee gedaan kunt worden. Er is echter een andere optie, het is ook mogelijk om een volledig subnet te vertalen naar een volledige pool van IP-adressen. Laat me je een voorbeeld geven van waar ik het over heb:
de topologie hierboven is exact hetzelfde als het vorige voorbeeld, maar Ik heb R3 toegevoegd aan de DMZ. Stel je nu voor dat onze ISP ons een pool van IP-adressen gaf, laten we zeggen 10.10.10.0 / 24. We kunnen deze pool gebruiken om alle servers in de DMZ te vertalen, laat me je laten zien hoe: