Меня попросили настроить ASA 5505 для маршрутизации трафика с одного внешнего IP-адреса (назовем его 208.X) на произвольное количество внутренних статических IP-адресов. Мне сказали рассмотреть возможность переадресации / сопоставления портов. Учитывая, что я все еще более или менее не понимаю, что касается сети, я не могу сказать, актуальна ли какая-либо информация, которую я нахожу на этом сайте или в Google. Начнем с самого начала.
access-list OUTSIDE_IN extended permit tcp any host 208.X eq www access-list OUTSIDE_IN extended permit tcp any host 208.X eq 678 access-list OUTSIDE_IN extended permit tcp any host 208.X eq 789 access-group OUTSIDE_IN in interface outside
Я чувствую, что двигаюсь не в том направлении. Где определено, что трафик порта 678 идет на внутренний IP A, а трафик порта 789 идет на внутренний IP B?
Спасибо за вашу помощь. Еще раз, любое образование очень ценится.
Вы на полпути :)
В общем, межсетевые экраны с NAT имеют две основные потребности для перемещения трафика между интерфейсами. В самом строгом смысле их гораздо больше, но два из них встречаются чаще всего. Первый - это контроль доступа, а второй - правило трансляции. Эта парадигма верна для большинства межсетевых экранов - даже если они не раскрывают ее в ограниченном графическом интерфейсе (межсетевые экраны / маршрутизаторы SOHO / потребительские) - графический интерфейс может делать это за вас. Однако в интерфейсе командной строки вы должны позаботиться о настройке контроля доступа и правил преобразования.
Если в вашем примере вы настроили систему контроля доступа со списком доступа. Список доступа OUTSIDE_IN привязан к внешнему интерфейсу в направлении IN.
Зная это, ваш список доступа сообщает ASA разрешить TCP-трафик, полученный на внешний интерфейс от любого источник Комбинация портов IP / TCP предназначенный для 208.x на TCP / 80, 208.x на TCP / 678 и 208.x на TCP / 789.
Следующим шагом (или первым шагом в зависимости от того, как вы хотите что-то делать) является создание правила трансляции, чтобы трафик переводился - конечно, после прохождения проверки контроля доступа.
В ASA 8.2 и более ранних версиях это достигается с помощью статический команда. Основные изменения NAT были реализованы в ASA 8.3 и более поздних версиях, поэтому следующее не применяется к 8.3 и более поздним версиям.
Предположения:
Я заполнил оставшиеся октеты внешнего IP-адреса цифрами 1, чтобы ясно показать, что мы будем выполнять преобразование адресов порта (PAT), в частности статический PAT, на одном внешнем IP-адресе. Это противоположно более традиционному статическому NAT, где каждый внутренний IP-адрес будет иметь свой собственный уникальный внешний IP-адрес.
static (inside,outside) tcp 208.1.1.1 80 192.168.1.100 80 netmask 255.255.255.255
static (inside,outside) tcp 208.1.1.1 678 192.168.1.101 678 netmask 255.255.255.255
static (inside,outside) tcp 208.1.1.1 789 192.168.1.102 789 netmask 255.255.255.255
В целом статического PAT следует избегать, поскольку это самый уродливый тип NAT как с точки зрения управления, так и с технической точки зрения. Если вам нужно предоставить доступ к Интернету для множества внутренних серверов, самый простой способ сделать это - использовать традиционный статический NAT, когда каждый сервер будет иметь свой собственный внешний IP-адрес.
Ссылка:
Статическая команда ASA 7.2 Справочник команд
-Ткачиха