Crie regras NAT e de segurança para a porta 443/80 em um Cisco ASA 5510

Navegue suas respostas
3

Eu tenho tentado configurar o NAT e dar acesso a um endereço IP público para minha rede local, mas não consigo fazê-lo funcionar. É a primeira vez que uso um firewall da Cisco.

Obrigado pela sua ajuda!

    
por splattne 11.07.2009 / 18:54

3 respostas

2

Como esta é a sua primeira vez com o firewall, estou mencionando a configuração extra, que irá ajudá-lo a aprender / depurar sobre a configuração do ASA 

interface FastEthernet 0/0
    nameif outside
    security-level 0
    ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
    nameif inside
    security-level 100
    ip address <inside_ip_firewall> <inside netmask>

access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an 
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside

route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>

telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 inside

Você pode adicionar log para ajudá-lo com a depuração usando 

logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>

O servidor syslog deve escutar na porta UDP 514 as mensagens do syslog do firewall. Eles são úteis na depuração de problemas durante a experiência com o firewall antes de serem implantados para produção.

É a configuração extremamente não segura do firewall, já que o telnet está ativado e também de todos os IPs internos. Também tudo está sendo permitido. A ideia é ajudar você a testar a configuração NAT sem se preocupar com as ACLs.

Agora para encaminhar conexões para a porta 80 para interface externa do ASA para algum uso do servidor 

static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100

Similarmente para 443 use 

static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100

Quando estiver familiarizado com o NAT, escolha o interior, o exterior e o DMZ e configure a ACL restritiva para permitir apenas o tráfego relevante.

Existem também outros tipos de NAT / PAT que você pode configurar no ASA.

    
por 12.07.2009 / 07:04
1

Usando a interface da web (ASDM):

1. Adicione uma regra de NAT estática. Vá para Configuração - > NAT. Clique em Adicionar e depois em "Adicionar regra de NAT estático". Coloque suas informações internas de IP em Real Address e suas informações externas de IP em Static Translation. Marque a opção "Enable PAT" e coloque em 80 (ou 443).

2. Modifique a política de segurança para permitir tráfego. Vá para Configuração - > Política de segurança. Clique em Adicionar e crie uma regra que permita o tráfego de entrada da interface externa (fonte any) para o endereço IP interno (especificando a porta).

    
por 11.07.2009 / 21:37
1

Parece que isso não foi respondido há algum tempo, mas vou tentar explicar o que temos em nosso 5510.

Primeiro, ouvi dizer que há problemas que surgem se você tiver apenas um endereço IP externo / público. Você tem que fazer alguma configuração extra e não tenho certeza do que é isso. Eu suponho que você tenha pelo menos dois e um deles é o IP externo do firewall. Nós vamos usar um disponível abaixo.

No ASDM, vá em Configuração - > Firewall - > Regras NAT

Clique em Adicionar - > Adicionar regra de NAT estática

  • Original - > Interface: dentro
  • Original - > Fonte: [endereço IP interno]
  • Traduzido - > Interface: fora
  • Traduzido - > Use o endereço IP: [endereço IP público não usado]
  • Tradução de endereços de porta - > Ativar tradução de endereços de porta
  • Tradução de endereços de porta - > Protocolo: TCP
  • Tradução de endereços de porta - > Porta original: http
  • Tradução de endereços de porta - > Porta traduzida: http

Clique em OK. Você pode adicionar outra regra para https / 443 quando tiver certeza de que o http / 80 está funcionando.

Em seguida, uma parte que me confundiu quando eu obtive meu primeiro 5510, então certifique-se de saber quais coisas colocar onde.

Acesse as Regras de acesso (ASDM - > Configuração - > Firewall - > Regras de acesso)

Adicionar - > Adicionar regra de acesso

  • Interface: fora (não dentro)
  • Ação: permitir
  • Fonte: qualquer
  • Destino: [o mesmo endereço IP público acima] (não o IP interno)
  • Serviço: tcp / http, tcp / https

Clique em OK

Deve ser isso. Eu acredito que a idéia é que você permite acesso de segurança ao IP externo / público, então o NAT faz a tradução se a regra de segurança permitir.

    
por 24.07.2009 / 09:47

Tags

Como migrar um sistema operacional VMWare Fusion para uma partição real? Permissão negada em arquivos em um diretório em um compartilhamento do Windows montado em CIFS no Linux