Назад | Перейти на главную страницу

Проблема с установкой DMZ Cisco ASA 5505

У меня ASA 5505 с версией 8.4. У меня есть один статический IP-адрес, который дает мне мой интернет-провайдер, и мне нужно использовать его для моей ВНУТРЕННЕЙ сети, а также для моей DMZ. Это становится проблемой PAT, поскольку мне нужно, чтобы некоторые порты завершались в DMZ, а некоторые - во внутреннем интерфейсе. Это было бы просто, если бы у меня было несколько IP-адресов, а у меня их нет.

Мне интересно, может ли кто-нибудь помочь мне с правильными заявлениями NAT. 8.4 очень отличается от того, к чему я привык, поэтому я не знаю, как заставить все это работать.

ASA 8.3 и выше в значительной степени заставляет использовать объекты при настройке NAT. Хотя это может беспокоить тех, кто администрирует PIX / ASA в течение многих лет без использования объектов, за последние 6 или около того месяцев мне действительно понравилась новая парадигма NAT. Статический PAT - то, что вы будете делать для «переадресации портов» в портах на внутренние и хосты dmz, не подходит так чисто, как мне хотелось бы.

Некоторые могут не согласиться с моей схемой именования объектов - они знают, что она используется более чем в 100 ASA, в некоторых из них более 1500 файлов конфигурации строк - и творит чудеса, позволяя упростить работу с CLI.

Ссылки, размещенные в вышеупомянутых ответах, являются отличным началом.

Я настоятельно рекомендую сначала прочитать раздел NAT руководства по настройке интерфейса командной строки ASA 8.4. Даже если вы этого не понимаете - сначала прочтите, чтобы узнать условия.

http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/nat_overview.html

Затем продолжите видео Джея Джонстона. Я нашел это весьма полезным, когда впервые попытался осмыслить вещи.

https://supportforums.cisco.com/docs/DOC-12324

Переходим непосредственно к вашему вопросу.

Предполагая

  • IP внешнего интерфейса: 1.1.1.2/30
  • IP внутри интерфейса: 192.168.10.1/24
  • IP интерфейса dmz: 192.168.20.1/24

  • Динамический PAT необходим для внутренних и dmz-подсетей.

  • Статический PAT (переадресация портов), необходимый для определенных внутренних и dmz-хостов, определенных ниже

    • внутри 192.168.10.10 нужен TCP / 22
    • dmz 192.168.20.20 требует TCP / 53, TCP / 80, TCP / 443 и UDP / 53

Сначала определите сетевые объекты для своих сетей и настройте объект NAT для динамического PAT для обоих объектов. Обратите внимание, что я использую свой стандарт именования объектов. Если вы покажете запуск, вы увидите «сеть объектов ...» для каждого объекта дважды. Один раз для определения объекта, а затем еще раз позже в конфигурации только с оператором nat.

object network net-192.168.10.0-24
 description inside Network
 subnet 192.168.10.0 255.255.255.0
 nat (inside,outside) dynamic interface

object network net-192.168.20.0-24
 description dmz Network
 subnet 192.168.20.0 255.255.255.0
 nat (dmz,outside) dynamic interface

Определите сетевые объекты для своих хостов. Вот где PAT становится немного опасной в версии 8.3 и выше. Мы определяем объект для самого хоста (который будет использоваться в ACL для упрощения). Затем мы определяем другой сетевой объект для каждого необходимого порта. С традиционным статическим NAT это очень просто и красиво - со статическим PAT это может стать немного громоздким, но все же очень наглядным.

object network hst-192.168.10.10
 description My inside Host
 host 192.168.10.10

object network hst-192.168.10.10-tcp22
 description My inside Host NAT SSH
 host 192.168.10.10
 nat (inside,outside) static interface service tcp 22 22

object network hst-192.168.20.20
 description My dmz Host
 host 192.168.20.20

object network hst-192.168.20.20-udp53
 description My dmz Host DNS
 host 192.168.20.20
 nat (dmz,outside) static interface service udp 53 53

object network hst-192.168.20.20-tcp80
 description My dmz Host HTTP
 host 192.168.20.20
 nat (dmz,outside) static interface service tcp 80 80

object network hst-192.168.20.20-tcp443
 description My dmz Host HTTPS
 host 192.168.20.20
 nat (dmz,outside) static interface service tcp 443 443

Теперь определите сервисные группы групп объектов для использования в ACL.

object-group service svcgrp-192.168.10.10-tcp tcp
 port-object eq 22

object-group service svcgrp-192.168.20.20-udp udp
 port-object eq 53

object-group service svcgrp-192.168.20.20-tcp tcp
 port-object eq 80
 port-object eq 443

С настроенными объектами и группами объектов, настроенным NAT (с использованием динамического PAT сетевого объекта NAT и статического PAT) - все, что осталось, это сторона ACL.

Вот где это действительно сочетается - особенно в традиционных сценариях статического NAT. В ASA 8.3+ UN-NAT (и NAT) происходит до проверки ACL L3 / L4 / группы доступа - поэтому используйте реальные IP-адреса в ACL группы доступа - даже если они привязаны к внешнему интерфейсу.

access-list outside_access_in extended permit tcp any object hst-192.168.10.10 object-group svcgrp-192.168.10.10-tcp
access-list outside_access_in extended permit udp any object hst-192.168.20.20 object-group svcgrp-192.168.20.20-udp
access-list outside_access_in extended permit tcp any object hst-192.168.20.20 object-group svcgrp-192.168.20.20-tcp

Не забудьте привязать свой ACL к интерфейсу.

access-group outside_access_in in interface outside

Обратите внимание, что я избегаю "понятных имен" в идентификаторах объектов. Делает это PITA при отладке в CLI. Я считаю, что имена объектов, которые я использую, очень наглядны и удобны в реальных сценариях.

Кроме того, со статическим NAT, разрешающим дополнительные порты, вам нужно только добавить запись объекта порта в объект svcgrp хоста. Однако со статическим PAT вам придется добавить новый сетевой объект для статического PAT - только один оператор nat разрешен для каждого объекта - и добавьте объект-порт в объект svcgrp хоста.

Запрос функции был подан в Cisco, чтобы разрешить несколько статических операторов PAT для каждого сетевого объекта. Это значительно уменьшит количество сетевых объектов, необходимых в статических сценариях PAT. Пока он не добавлен.

-Ткачиха

Вот ссылка, которую я использую для NAT в 8.4, http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/nat_objects.html#wp1106703

Вот пример, с которого вы можете начать.

Предположения

Статический IP-адрес ISP 10.0.0.1 на внешнем интерфейсе
IP хоста DMZ 192.168.1.2 на интерфейсе DMZ
INSIDE host IP 192.168.2.2 на внутреннем интерфейсе

http переходит на хост dmz
https переходит на внутренний хост

Образец

object service DMZ-HTTP
service tcp eq http

object service INSIDE-HTTPS
service tcp eq https

object network OUTSIDE_INT_10.0.0.1
host 10.0.0.1

object network DMZ_SERVER_192.168.1.2
host 192.168.1.2

object network INSIDE_SERVER_192.168.2.2
host 192.168.2.2

nat (dmz,outside) source static DMZ_SERVER_192.168.1.2 OUTSIDE_INT_10.0.0.1 service DMZ-HTTP DMZ-HTTP
nat (inside,outside) source static INSIDE_SERVER_192.168.2.2 OUTSIDE_INT_10.0.0.1 service INSIDE-HTTPS INSIDE-HTTPS

8.3 и новее имеют очень разные команды для NAT. Обрисованы различия в NAT и других аспектах (с соответствующими новыми командами). Вот.

Вкратце, есть также различия в конфигурации для туннелей LAN-LAN в 8.4; эти изменения описаны Вот.