Statyczna konfiguracja nat Cisco ASA

by Posted on

zawartość lekcji

w poprzednich lekcjach wyjaśniłem, w jaki sposób można używać dynamicznego NAT lub PAT, aby hosty lub serwery wewnątrz sieci były w stanie uzyskać dostęp do świata zewnętrznego. To jest świetne, ale to tylko dla ruchu wychodzącego lub w “terminologii ASA” … ruch z wyższego poziomu bezpieczeństwa przechodzi na niższy poziom bezpieczeństwa.

co jeśli zewnętrzny host w Internecie chce dotrzeć do serwera w naszym wnętrzu lub DMZ? Jest to niemożliwe tylko z dynamicznym NAT lub PAT. Kiedy chcemy to osiągnąć musimy zrobić dwie rzeczy:

  • Skonfiguruj statyczny NAT tak, aby wewnętrzny serwer był dostępny za pośrednictwem zewnętrznego publicznego adresu IP.
  • Skonfiguruj listę Dostępu tak, aby ruch był dozwolony.

aby zademonstrować statyczny NAT użyję następującej topologii:

ASA1 poza DMZ R1 R2powyżej mamy naszą zaporę ASA z dwoma interfejsami; jeden dla DMZ i drugi dla świata zewnętrznego. Wyobraź sobie, że R1 jest serwerem na DMZ, podczas gdy R2 jest jakimś hostem w Internecie, który chce dotrzeć do naszego serwera. Skonfigurujmy nasz firewall tak, aby było to możliwe…

Statyczna konfiguracja NAT

najpierw utworzymy obiekt sieciowy, który definiuje nasz “serwer WWW” w DMZ, a także skonfigurujemy na jaki adres IP ma być przetłumaczony. Ta konfiguracja jest dla ASA w wersji 8.3 i nowszej:

ASA1(config)# object network WEB_SERVERASA1(config-network-object)# host 192.168.1.1ASA1(config-network-object)# nat (DMZ,OUTSIDE) static 192.168.2.200

powyższa konfiguracja mówi ASA, że za każdym razem, gdy urządzenie zewnętrzne łączy się z adresem IP 192.168.2.200, należy je przetłumaczyć na adres IP 192.168.1.1. To zajmuje się NAT, ale nadal musimy utworzyć listę dostępu lub ruch zostanie usunięty:

ASA1(config)# access-list OUTSIDE_TO_DMZ extended permit tcp any host 192.168.1.1

Powyższa lista dostępu pozwala każdemu źródłowemu adresowi IP połączyć się z adresem IP 192.168.1.1. Podczas korzystania z ASA w wersji 8.3 lub nowszej należy podać “prawdziwy” adres IP, a nie “adres przetłumaczony na NAT”. Aktywujmy tę listę dostępu:

ASA1(config)# access-group OUTSIDE_TO_DMZ in interface OUTSIDE

umożliwia to wyświetlenie listy dostępu w interfejsie zewnętrznym. Załóżmy telnet z R2 do R1 na porcie TCP 80, aby sprawdzić, czy działa:

R2#telnet 192.168.2.200Trying 192.168.2.200 ... Open

świetnie, jesteśmy w stanie połączyć się z R2 do R1, rzućmy okiem na ASA, aby zweryfikować pewne rzeczy:

ASA1# show xlate1 in use, 1 most usedFlags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap, s - static, T - twice, N - net-to-netNAT from DMZ:192.168.1.1 to OUTSIDE:192.168.2.200 flags s idle 0:08:44 timeout 0:00:00
ASA1# show access-listaccess-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300access-list OUTSIDE_TO_DMZ; 1 elements; name hash: 0xe96c1ef3access-list OUTSIDE_TO_DMZ line 1 extended permit tcp any host 192.168.1.1 eq www (hitcnt=6) 0x408b914e

powyżej możesz zobaczyć statyczny wpis NAT, a także trafienie na liście dostępu. Wszystko działa tak, jak powinno.

statyczny NAT dla całej podsieci

poprzedni przykład był w porządku, jeśli masz tylko kilka serwerów, ponieważ możesz utworzyć kilka statycznych tłumaczeń NAT i zrobić z nim. Istnieje jednak inna opcja, możliwe jest również przetłumaczenie całej podsieci na całą pulę adresów IP. Podam wam przykład tego, o czym mówię:

ASA1-R1-R3-dmz-R2-outside topologia powyżej jest dokładnie taka sama jak w poprzednim przykładzie, ale dodałem R3 do DMZ. Teraz wyobraź sobie, że nasz ISP dał nam pulę adresów IP, powiedzmy 10.10.10.0 /24. Możemy użyć tej puli, aby przetłumaczyć wszystkie serwery w DMZ, pokażę Ci, jak:

Published by admin

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.