Итак, я унаследовал Cisco ASA 5505, и у меня нет никакого опыта с этим! Есть два сетевых интерфейса, обращенных к WAN, и, конечно же, интерфейс LAN. Теперь в правилах NAT есть два правила:
Match Criteria: Original Packet Action Translated Packet:
SourceInt DesInt Source Destination Service Source Destination Service
3 inside Outside-ISP1 obj_Any any any Outside-ISP1 original original
4 inside Outside-ISP2 obj_Any2 any any Outside-ISP2 original original
Если я удалю любой из этих NAT, никто не сможет получить доступ к чему-либо за пределами LAN на указанном интерфейсе, из которого я удалил правило NAT. Что делает это правило?
Не желая показаться покровительственным, вам следует проверить свое понимание NAT;
Клиенты в локальной сети, вероятно, имеют частные IP-адреса (из RFC1918), которые не маршрутизируются через Интернет. Два интерфейса WAN, вероятно, имеют общедоступные маршрутизируемые IP-адреса, выделенные двумя интернет-провайдерами, к которым они также подключены.
Когда узел в локальной сети подключается к узлу в Интернете, например, к веб-серверу, он делает запрос к ASA, и ASA передает запрос удаленному узлу Интернета, но транслирует IP-адрес узла локальной сети в пределах запрос на один из своих общедоступных IP-адресов. Если ASA отправляет запрос через первый интерфейс WAN, ASA изменит исходный IP-адрес запроса на IP-адрес, назначенный первому интерфейсу WAN;
Action Translated Packet:
Source:
Outside-ISP1
Если запрос отправляется через второй интерфейс WAN, он использует другое правило, Outside-ISP2 и запрос модифицируется для использования исходного IP-адреса второго интерфейса WAN вместо внутреннего частного IP-адреса локальной сети.
Если вы отбросите любое из этих правил NAT, адреса хостов LAN не будут преобразованы в общедоступный маршрутизируемый адрес, а запрос, отправленный на веб-сайт, не будет получен, потому что веб-сайт не может связаться с хостом по частному IP-адресу. адрес, он не будет знать, где он находится и как добраться до него через Интернет.
Поскольку оба правила кажутся одинаковыми, достаточно взглянуть на первое:
SourceInt DesInt Source Destination Service Source Destination Service
3 inside Outside-ISP1 obj_Any any any Outside-ISP1 original original
Это правило гласит: «Любой трафик, входящий в интерфейс, называется inside (который, вероятно, будет интерфейсом LAN), который предназначен для интерфейса, называемого Outside-ISP1 (который, вероятно, будет 1-м интерфейсом WAN, также он будет идти туда, вероятно, из-за маршрута по умолчанию на ASA), который исходит от исходного IP-адреса, соответствующего тем, что в obj_Any (который, вероятно, совпадает с IP-адресом любого внутреннего хоста LAN), который Destination из any и через Service из any; Будет ли изменен исходный IP-адрес на Outside-ISP1 (IP-адрес интерфейса WAN1) и Destination оставлен как есть, а Service оставил как есть.
Эта дополнительная опция для сопоставления трафика на основе пункта назначения и службы может использоваться для других типов правил NAT, таких как перенаправление портов или маршрутизация на основе политик.
Вы играете с конфигурацией в рабочее время? :)
Он выполняет трансляцию NAT ... изменяет исходный адрес клиента, инициирующего трафик, на исходный IP-адрес внешнего интерфейса (Outside-ISP1 или Outside-ISP2 в зависимости от того, какое правило NAT он попадает).
Он говорит:
Если источником является объект в списке "obj_Any", а местом назначения является ЛЮБОЙ пункт назначения на ЛЮБОЙ службе / порту ЗАТЕМ новый IP-адрес источника - это IP-адрес интерфейса Outside-ISP1, а IP-адрес назначения и служба / порт остаются исходными / неизменными.
Вам нужно прочитать о NAT в основном ... что это такое, почему он существует и т. Д. Это сложнее, чем это простое объяснение (таблицы NAT, NAT / PAT и т. Д.)