У меня ASA 5505 с версией 8.4. У меня есть один статический IP-адрес, который дает мне мой интернет-провайдер, и мне нужно использовать его для моей ВНУТРЕННЕЙ сети, а также для моей DMZ. Это становится проблемой PAT, поскольку мне нужно, чтобы некоторые порты завершались в DMZ, а некоторые - во внутреннем интерфейсе. Это было бы просто, если бы у меня было несколько IP-адресов, а у меня их нет.
Мне интересно, может ли кто-нибудь помочь мне с правильными заявлениями NAT. 8.4 очень отличается от того, к чему я привык, поэтому я не знаю, как заставить все это работать.
ASA 8.3 и выше в значительной степени заставляет использовать объекты при настройке NAT. Хотя это может беспокоить тех, кто администрирует PIX / ASA в течение многих лет без использования объектов, за последние 6 или около того месяцев мне действительно понравилась новая парадигма NAT. Статический PAT - то, что вы будете делать для «переадресации портов» в портах на внутренние и хосты dmz, не подходит так чисто, как мне хотелось бы.
Некоторые могут не согласиться с моей схемой именования объектов - они знают, что она используется более чем в 100 ASA, в некоторых из них более 1500 файлов конфигурации строк - и творит чудеса, позволяя упростить работу с CLI.
Ссылки, размещенные в вышеупомянутых ответах, являются отличным началом.
Я настоятельно рекомендую сначала прочитать раздел NAT руководства по настройке интерфейса командной строки ASA 8.4. Даже если вы этого не понимаете - сначала прочтите, чтобы узнать условия.
http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/nat_overview.html
Затем продолжите видео Джея Джонстона. Я нашел это весьма полезным, когда впервые попытался осмыслить вещи.
https://supportforums.cisco.com/docs/DOC-12324
Переходим непосредственно к вашему вопросу.
Предполагая
IP интерфейса dmz: 192.168.20.1/24
Динамический PAT необходим для внутренних и dmz-подсетей.
Статический PAT (переадресация портов), необходимый для определенных внутренних и dmz-хостов, определенных ниже
Сначала определите сетевые объекты для своих сетей и настройте объект NAT для динамического PAT для обоих объектов. Обратите внимание, что я использую свой стандарт именования объектов. Если вы покажете запуск, вы увидите «сеть объектов ...» для каждого объекта дважды. Один раз для определения объекта, а затем еще раз позже в конфигурации только с оператором nat.
object network net-192.168.10.0-24
description inside Network
subnet 192.168.10.0 255.255.255.0
nat (inside,outside) dynamic interface
object network net-192.168.20.0-24
description dmz Network
subnet 192.168.20.0 255.255.255.0
nat (dmz,outside) dynamic interface
Определите сетевые объекты для своих хостов. Вот где PAT становится немного опасной в версии 8.3 и выше. Мы определяем объект для самого хоста (который будет использоваться в ACL для упрощения). Затем мы определяем другой сетевой объект для каждого необходимого порта. С традиционным статическим NAT это очень просто и красиво - со статическим PAT это может стать немного громоздким, но все же очень наглядным.
object network hst-192.168.10.10
description My inside Host
host 192.168.10.10
object network hst-192.168.10.10-tcp22
description My inside Host NAT SSH
host 192.168.10.10
nat (inside,outside) static interface service tcp 22 22
object network hst-192.168.20.20
description My dmz Host
host 192.168.20.20
object network hst-192.168.20.20-udp53
description My dmz Host DNS
host 192.168.20.20
nat (dmz,outside) static interface service udp 53 53
object network hst-192.168.20.20-tcp80
description My dmz Host HTTP
host 192.168.20.20
nat (dmz,outside) static interface service tcp 80 80
object network hst-192.168.20.20-tcp443
description My dmz Host HTTPS
host 192.168.20.20
nat (dmz,outside) static interface service tcp 443 443
Теперь определите сервисные группы групп объектов для использования в ACL.
object-group service svcgrp-192.168.10.10-tcp tcp
port-object eq 22
object-group service svcgrp-192.168.20.20-udp udp
port-object eq 53
object-group service svcgrp-192.168.20.20-tcp tcp
port-object eq 80
port-object eq 443
С настроенными объектами и группами объектов, настроенным NAT (с использованием динамического PAT сетевого объекта NAT и статического PAT) - все, что осталось, это сторона ACL.
Вот где это действительно сочетается - особенно в традиционных сценариях статического NAT. В ASA 8.3+ UN-NAT (и NAT) происходит до проверки ACL L3 / L4 / группы доступа - поэтому используйте реальные IP-адреса в ACL группы доступа - даже если они привязаны к внешнему интерфейсу.
access-list outside_access_in extended permit tcp any object hst-192.168.10.10 object-group svcgrp-192.168.10.10-tcp
access-list outside_access_in extended permit udp any object hst-192.168.20.20 object-group svcgrp-192.168.20.20-udp
access-list outside_access_in extended permit tcp any object hst-192.168.20.20 object-group svcgrp-192.168.20.20-tcp
Не забудьте привязать свой ACL к интерфейсу.
access-group outside_access_in in interface outside
Обратите внимание, что я избегаю "понятных имен" в идентификаторах объектов. Делает это PITA при отладке в CLI. Я считаю, что имена объектов, которые я использую, очень наглядны и удобны в реальных сценариях.
Кроме того, со статическим NAT, разрешающим дополнительные порты, вам нужно только добавить запись объекта порта в объект svcgrp хоста. Однако со статическим PAT вам придется добавить новый сетевой объект для статического PAT - только один оператор nat разрешен для каждого объекта - и добавьте объект-порт в объект svcgrp хоста.
Запрос функции был подан в Cisco, чтобы разрешить несколько статических операторов PAT для каждого сетевого объекта. Это значительно уменьшит количество сетевых объектов, необходимых в статических сценариях PAT. Пока он не добавлен.
-Ткачиха
Вот ссылка, которую я использую для NAT в 8.4, http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/nat_objects.html#wp1106703
Вот пример, с которого вы можете начать.
Статический IP-адрес ISP 10.0.0.1 на внешнем интерфейсе
IP хоста DMZ 192.168.1.2 на интерфейсе DMZ
INSIDE host IP 192.168.2.2 на внутреннем интерфейсе
http переходит на хост dmz
https переходит на внутренний хост
object service DMZ-HTTP
service tcp eq http
object service INSIDE-HTTPS
service tcp eq https
object network OUTSIDE_INT_10.0.0.1
host 10.0.0.1
object network DMZ_SERVER_192.168.1.2
host 192.168.1.2
object network INSIDE_SERVER_192.168.2.2
host 192.168.2.2
nat (dmz,outside) source static DMZ_SERVER_192.168.1.2 OUTSIDE_INT_10.0.0.1 service DMZ-HTTP DMZ-HTTP
nat (inside,outside) source static INSIDE_SERVER_192.168.2.2 OUTSIDE_INT_10.0.0.1 service INSIDE-HTTPS INSIDE-HTTPS