Cisco ASA NAT Estática de Configuração
Lição Conteúdo
Em lições anteriores, expliquei como você pode usar o NAT dinâmico ou PAT para que seus hosts ou servidores no interior da rede são capazes de acessar o mundo exterior. Isso é ótimo, mas é apenas para tráfego de saída ou na terminologia ASA…tráfego de um nível de segurança mais alto indo para um nível de segurança mais baixo.
e se uma máquina externa na Internet quiser chegar a um servidor no nosso interior ou DMZ? Isto é impossível apenas com Nat dinâmico ou PAT. Quando queremos alcançar este objectivo, temos de fazer duas coisas.:
- Configure o NAT estático para que o servidor interno seja acessível através de um endereço IP público externo.
- Configure uma lista de Acesso para que o tráfego seja permitido.
Para demonstrar NAT estático vou usar a seguinte topologia:
Acima temos a nossa firewall ASA com duas interfaces, uma para a DMZ e outra para o mundo exterior. Imagine que o R1 é um servidor web na DMZ, enquanto o R2 é um servidor na Internet que quer chegar ao nosso servidor web. Vamos configurar a nossa firewall para que isto seja possível …
configuração estática NAT
primeiro vamos criar um objecto de rede que define o nosso “servidor web” na DMZ e também configurar para que endereço IP deve ser traduzido. Esta configuração é para ASA versão 8.3 e posterior:
ASA1(config)# object network WEB_SERVERASA1(config-network-object)# host 192.168.1.1ASA1(config-network-object)# nat (DMZ,OUTSIDE) static 192.168.2.200
a configuração acima diz ao ASA que sempre que um dispositivo externo se conecta ao endereço IP 192.168.2.200, ele deve ser traduzido para o endereço IP 192.168.1.1. Isso cuida do NAT, mas ainda temos que criar uma lista de acesso ou o tráfego será descartado:
ASA1(config)# access-list OUTSIDE_TO_DMZ extended permit tcp any host 192.168.1.1
a lista de acesso acima permite que qualquer endereço IP fonte se conecte ao endereço IP 192.168.1.1. Ao usar ASA versão 8.3 ou mais tarde você precisa especificar o endereço IP “real”, não o endereço” NAT traduzido”. Vamos activar esta lista de acesso.:
ASA1(config)# access-group OUTSIDE_TO_DMZ in interface OUTSIDE
isto permite a lista de acesso na interface externa. Vamos telnet a partir de R2 para R1 na porta TCP 80 para ver se ele funciona:
R2#telnet 192.168.2.200Trying 192.168.2.200 ... Open
Ótimo, somos capazes de ligar de R2 para R1, vamos dar uma olhada no ASA para verificar algumas coisas:
ASA1# show xlate1 in use, 1 most usedFlags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap, s - static, T - twice, N - net-to-netNAT from DMZ:192.168.1.1 to OUTSIDE:192.168.2.200 flags s idle 0:08:44 timeout 0:00:00
ASA1# show access-listaccess-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300access-list OUTSIDE_TO_DMZ; 1 elements; name hash: 0xe96c1ef3access-list OUTSIDE_TO_DMZ line 1 extended permit tcp any host 192.168.1.1 eq www (hitcnt=6) 0x408b914e
acima você pode ver a entrada NAT estática e também o hit na lista de acesso. Está tudo a funcionar como devia.
NAT estático para a sub-rede inteira
o exemplo anterior foi bom se você tiver apenas alguns servidores, uma vez que você pode criar um par de traduções estáticas NAT e ser feito com ele. Há outra opção, porém, também é possível traduzir uma sub-rede inteira para um conjunto inteiro de endereços IP. Deixa – me dar-te um exemplo do que estou a falar.:
A topologia acima é exatamente o mesmo do exemplo anterior, mas eu adicionei R3 para a DMZ. Agora imagine que nosso ISP nos deu um conjunto de endereços IP, digamos 10.10.10.0 /24. Podemos usar esta piscina para traduzir todos os servidores na DMZ, deixe-me mostrar-lhe como: