Назад | Перейти на главную страницу

NAT один общедоступный IP-адрес на два внутренних сервера на ASA 8.4

например, я хочу:

 NAT 5.5.5.5 tcp 85 to 192.168.1.5 tcp 85
 NAT 5.5.5.5 tcp 33 to 192.168.1.9 tcp 33
 NAT 6.6.6.6 tcp 80 443 to 192.168.1.20 tcp 80 443

Я собирался сделать это следующим образом:

object obj-192.168.1.5
host 192.168.1.5
nat (inside,outside) static 5.5.5.5 service tcp 85 85

object obj-192.168.1.9
host 192.168.1.9
nat (inside,outside) static 5.5.5.5 service tcp 33 33

object obj-192.168.1.20
host 192.168.1.9
nat (inside,outside) static 6.6.6.6. ????

Затем добавьте ACL, чтобы разрешить трафик. Я не знаю, как создать группу служб и применить ее к NAT, кажется, что она позволяет вам вводить только один порт за раз.

есть идеи как это сделать?

Каждая строка 'nat' может использоваться только для одного порта или для всех портов (любых). Для перевода двух портов требуется две строки.

object obj-192.168.1.20
host 192.168.1.9
nat (inside,outside) static 6.6.6.6 service tcp 80 80
nat (inside,outside) static 6.6.6.6 service tcp 443 443

ASA 8.3 и выше значительно изменили NAT в ОС ASA.

Если вы определяете поведение NAT в режиме конфигурации объекта (внутри объекта), оно называется NAT объекта. Если вы определяете поведение NAT в режиме глобальной конфигурации, он называется дважды NAT. Обязательно прочтите 8.4 Разделы руководства по интерфейсу командной строки по NAT

В объектном NAT только один NAT заявление можно использовать для каждого объекта. Таким образом, если вы хотите реализовать статический PAT (переадресация портов в терминах непрофессионала), вам нужно будет создать объект для каждого порта, который будет перенаправлен - будь то один и тот же внутренний хост или разные внутренние хосты.

Ниже приводится схема настройки статического PAT. Процесс статического NAT такой же, но не включает шаг 2.

  1. Создать хост object для внутреннего / внутреннего хоста. Не используйте nat заявление об этом object если этот хост будет использоваться для статических PAT. (В случае статического NAT, а nat оператор должен использоваться для этого объекта.)

  2. Создать еще один хост object будет использоваться для каждого статического PAT для внутреннего хоста. Именование важно как nat выписка будет по этому объекту. Использовать nat заявление об этом объекте для перенаправления порта / службы.

  3. Создать object-group типа service для всех «портов / служб», которые перенаправляются / разрешены на внутренний / внутренний хост. это object-group является не используется для целей NAT / PAT, но позже для ACL.

  4. С правилом NAT (статический PAT), определенным в object, объедините требования ACL в access-list.

Ниже приведен пример, который включает следующее из вашего собственного примера:

  • Статический PAT две службы от одного внешнего IP до двух внутри IP / хостов.
  • Статический PAT - две службы от одного внешнего IP до одного внутреннего IP / хоста.
  • (Добавлено) Статический NAT с одного внешнего IP на один внутренний IP / хост с разрешением 5 служб ACL.

Пример:

object network hst-192.168.1.5
 host 192.168.1.5
 description Server1 Host Object

object network hst-192.168.1.5-tcp85
 host 192.168.1.5
 description Server1 TCP/85 Static PAT Object
 nat (inside,outside) static 5.5.5.5 service tcp 85 85

object network hst-192.168.1.9
 host 192.168.1.9
 description Server2 Host Object

object network hst-192.168.1.9-tcp33
 host 192.168.1.9
 description Server2 TCP/33 Static PAT Object
 nat (inside,outside) static 5.5.5.5 service tcp 33 33

object network hst-192.168.1.20
 host 192.168.1.20
 description Server3 Host Object

object network hst-192.168.1.20-tcp80
 host 192.168.1.20
 description Server3 TCP/80 Static PAT Object
 nat (inside,outside) static 6.6.6.6 service tcp 80 80

object network hst-192.168.1.20-tcp443
 host 192.168.1.20
 description Server3 TCP/443 Static PAT Object
 nat (inside,outside) static 6.6.6.6 service tcp 443 443

object network hst-192.168.1.30
 host 192.168.1.30
 description Server4 Host Object (and Static NAT)
 nat (inside,outside) static 7.7.7.7

object-group service svcgrp-192.168.1.5-tcp tcp
 port-object eq 85

object-group service svcgrp-192.168.1.9-tcp tcp
 port-object eq 33

object-group service svcgrp-192.168.1.9-tcp tcp
 port-object eq 80
 port-object eq 443

object-group service svcgrp-192.168.1.30-tcp tcp
 port-object eq 20
 port-object eq 21
 port-object eq 22
 port-object eq 80
 port-object eq 443

access-list outside_access_in extended permit tcp any object hst-192.168.1.5 object-group svcgrp-192.168.1.5-tcp
access-list outside_access_in extended permit tcp any object hst-192.168.1.9 object-group svcgrp-192.168.1.9-tcp
access-list outside_access_in extended permit tcp any object hst-192.168.1.20 object-group svcgrp-192.168.1.20-tcp
access-list outside_access_in extended permit tcp any object hst-192.168.1.30 object-group svcgrp-192.168.1.30-tcp

access-group outside_access_in in interface outside

Что вы можете вынести из примера (и нового стиля NAT в целом), так это следующее:

  • Статический PAT кажется более сложным, чем должен быть, особенно когда речь идет о пересылке во многих различных службах / портах.
  • Статический NAT - в режиме сетевого объекта все намного проще. При полном использовании объектов (как для хостов, так и для сервисных групп) «разрешить» больше портов может быть так же просто, как добавить запись в сервисную группу.
  • По возможности используйте статический NAT из-за его простоты.
  • Если у вас нет соглашения / стандарта именования - ваша конфигурация выйдет из-под контроля и ее будет трудно читать очень быстро.