Cisco ASA Static nat Configuration
conținutul lecției
în lecțiile anterioare am explicat cum puteți utiliza nat dinamic sau PAT, astfel încât gazdele sau serverele dvs. din interiorul rețelei dvs. să poată accesa lumea exterioară. Acest lucru este minunat, dar este doar pentru traficul de ieșire sau în “terminologia ASA”…traficul de la un nivel de securitate mai ridicat la un nivel de securitate mai scăzut.
ce se întâmplă dacă o gazdă externă de pe Internet dorește să ajungă la un server din interiorul nostru sau DMZ? Acest lucru este imposibil doar cu Nat dinamic sau PAT. Când vrem să realizăm acest lucru, trebuie să facem două lucruri:
- configurați nat static astfel încât serverul intern să fie accesibil printr-o adresă IP publică externă.
- configurați o listă de acces, astfel încât traficul să fie permis.
pentru a demonstra nat static voi folosi următoarea topologie:
mai sus avem firewall-ul nostru ASA cu două interfețe; una pentru DMZ și alta pentru lumea exterioară. Imaginați-vă că R1 este un server web pe DMZ, în timp ce R2 este o gazdă pe Internet care dorește să ajungă la serverul nostru web. Să configurăm firewall-ul nostru astfel încât acest lucru să fie posibil…
configurare statică Nat
mai întâi vom crea un obiect de rețea care definește “serverul nostru web” în DMZ și, de asemenea, configurați la ce adresă IP ar trebui tradusă. Această configurație este pentru ASA versiunea 8.3 și mai târziu:
ASA1(config)# object network WEB_SERVERASA1(config-network-object)# host 192.168.1.1ASA1(config-network-object)# nat (DMZ,OUTSIDE) static 192.168.2.200
configurația de mai sus spune ASA că ori de câte ori un dispozitiv extern se conectează la adresa IP 192.168.2.200 că ar trebui să fie tradus la adresa IP 192.168.1.1. Acest lucru are grijă de NAT, dar tot trebuie să creăm o listă de acces sau traficul va fi abandonat:
ASA1(config)# access-list OUTSIDE_TO_DMZ extended permit tcp any host 192.168.1.1
lista de acces de mai sus permite oricărei adrese IP sursă să se conecteze la adresa IP 192.168.1.1. Când utilizați ASA versiunea 8.3 sau o versiune ulterioară, trebuie să specificați adresa IP “reală”, nu adresa “nat tradusă”. Să activăm această listă de acces:
ASA1(config)# access-group OUTSIDE_TO_DMZ in interface OUTSIDE
aceasta permite lista de acces pe interfața exterioară. Să telnet de la R2 la R1 pe portul TCP 80 pentru a vedea dacă funcționează:
R2#telnet 192.168.2.200Trying 192.168.2.200 ... Open
mare, suntem capabili să se conecteze de la R2 la R1, să aruncăm o privire la ASA pentru a verifica unele lucruri:
ASA1# show xlate1 in use, 1 most usedFlags: D - DNS, e - extended, I - identity, i - dynamic, r - portmap, s - static, T - twice, N - net-to-netNAT from DMZ:192.168.1.1 to OUTSIDE:192.168.2.200 flags s idle 0:08:44 timeout 0:00:00
ASA1# show access-listaccess-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300access-list OUTSIDE_TO_DMZ; 1 elements; name hash: 0xe96c1ef3access-list OUTSIDE_TO_DMZ line 1 extended permit tcp any host 192.168.1.1 eq www (hitcnt=6) 0x408b914e
mai sus puteți vedea intrarea statică NAT și, de asemenea, lovit pe lista de acces. Totul funcționează așa cum ar trebui să fie.
Nat Static pentru întreaga subrețea
exemplul anterior a fost bine dacă aveți doar câteva servere, deoarece puteți crea o pereche de traduceri nat statice și să fie făcut cu ea. Există o altă opțiune, deși, de asemenea, este posibil să se traducă o subrețea întreg la un întreg bazin de adrese IP. Permiteți-mi să vă dau un exemplu despre ce vorbesc:
topologia de mai sus este exact la fel ca exemplul anterior, dar am adăugat R3 la DMZ. Acum imaginați-vă că ISP-ul nostru ne-a dat un grup de adrese IP, să spunem 10.10.10.0 /24. Putem folosi acest pool pentru a traduce toate serverele din DMZ, permiteți – mi să vă arăt cum: