Назад | Перейти на главную страницу

Создание правил NAT и политик безопасности для порта 443/80 на Cisco ASA 5510

Я пытался настроить NAT и предоставить доступ к общедоступному IP-адресу в моей локальной сети, я просто не могу заставить его работать. Я впервые использую межсетевой экран Cisco.

Спасибо за вашу помощь!

Поскольку вы впервые используете брандмауэр, я упоминаю дополнительную конфигурацию, которая поможет вам в изучении / отладке конфигурации ASA.

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

Вы можете добавить ведение журнала, чтобы помочь вам с отладкой, используя

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

Сервер системного журнала должен прослушивать UDP-порт 514 на предмет сообщений системного журнала от брандмауэра. Они полезны при отладке проблем при экспериментировании с брандмауэром перед развертыванием в производственной среде.

Это крайне небезопасная конфигурация брандмауэра, так как Telnet включен, и это тоже со всех внутренних IP-адресов. Также все разрешено. Идея состоит в том, чтобы помочь вам протестировать конфигурацию NAT, не беспокоясь о ACL.

Теперь переадресовываем подключения к порту 80 для внешнего интерфейса ASA на использование сервера.

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

Аналогично для 443 используйте

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

Как только вы освоитесь с NAT, перейдите к внутреннему, внешнему и DMZ и настройте ограничительный ACL, чтобы разрешить только соответствующий трафик.

Существуют также другие типы NAT / PAT, которые вы можете настроить в ASA.

Похоже, что на это давно не отвечали, но я попытаюсь объяснить, что у нас есть на нашем 5510.

Во-первых, я слышал, что возникают проблемы, если у вас есть только один внешний / общедоступный IP-адрес. Вам нужно выполнить дополнительную настройку, и я не уверен, что это такое. Я предполагаю, что у вас есть как минимум два, и один из них - внешний IP-адрес брандмауэра. Мы будем использовать доступный ниже.

В ASDM перейдите в Configuration -> Firewall -> NAT Rules.

Нажмите Добавить -> Добавить правило статического NAT.

  • Оригинал -> Интерфейс: внутри
  • Исходный -> Источник: [внутренний IP-адрес]
  • Переведено -> Интерфейс: снаружи
  • Переведено -> Использовать IP-адрес: [неиспользуемый общедоступный IP-адрес]
  • Преобразование адреса порта -> Включить преобразование адреса порта
  • Преобразование адресов порта -> Протокол: TCP
  • Преобразование адреса порта -> Исходный порт: http
  • Перевод адреса порта -> переведенный порт: http

Щелкните ОК. Вы можете добавить еще одно правило для https / 443, когда убедитесь, что http / 80 работает.

Следующая деталь запутала меня, когда я впервые получил свой 5510, поэтому убедитесь, что вы знаете, что и куда положить.

Перейдите в Правила доступа (ASDM -> Конфигурация -> Брандмауэр -> Правила доступа)

Добавить -> Добавить правило доступа

  • Интерфейс: снаружи (не внутри)
  • Действие: разрешение
  • Источник: любой
  • Назначение: [тот же общедоступный IP-адрес, указанный выше] (не внутренний IP)
  • Сервис: tcp / http, tcp / https

Нажмите ОК

Так и должно быть. Я считаю, что идея заключается в том, что вы разрешаете безопасный доступ к внешнему / общедоступному IP-адресу, а затем NAT выполняет преобразование, если это разрешено правилом безопасности.

Используя веб-интерфейс (ASDM):

1. Добавьте правило статического NAT. Перейдите в Configuration -> NAT. Нажмите «Добавить», затем «Добавить правило статического NAT». Введите информацию о своем внутреннем IP-адресе в поле «Реальный адрес» и информацию о внешнем IP-адресе в разделе «Статический перевод». Отметьте «Включить PAT» и введите 80 (или 443).

2. Измените политику безопасности, чтобы разрешить трафик. Перейдите в Конфигурация -> Политика безопасности. Щелкните Добавить и создайте правило, разрешающее входящий трафик с внешнего интерфейса (любой источник) на внутренний IP-адрес (с указанием порта).