Tentando configurar o NAT de 2 IPs externos para o mesmo IP privado

2

Cisco ASA 5510 Atualmente, tenho um NAT para SMTP em um IP externo para um IP interno. Eu preciso configurar 2 IPs externos para NAT para o mesmo IP internamente. Como eu posso fazer isso? ex: 10.10.10.1 25 - > 192.168.0.200 25 10.10.10.3 25 - > 192.168.0.200 25

    
por Keith 20.12.2012 / 20:18

4 respostas

4

Você não poderá usar o PAT estático para isso, pois você violaria a regra de mapeamento 1: 1. O Firewall precisa saber qual mapeamento usar em ambas as direções - tanto in > out quanto out- > in. No seu caso, se 192.168.0.200 originou conexão da porta 25, o firewall não saberia qual IP global usar. Em outras palavras, não é possível assim.

A solução mais fácil seria atribuir um endereço IP adicional ao dispositivo interno e manter os NAT limpos. Digamos que você atribua IP adicional de 192.168.0.201. Configuração seria:

static (inside,outside) tcp 10.0.0.1 25 192.168.0.200 25
static (inside,outside) tcp 10.0.0.3 25 192.168.0.201 25
    
por 21.12.2012 / 11:45
1

Com o iOS 8.2 ou abaixo:

access-list SMTP-Services extended permit ip host 192.168.0.200 host 10.10.10.1
access-list SMTP-Services2 extended permit ip host 192.168.0.200 host 10.10.10.3

static (InternalInterface,ExternalInterface) 10.10.10.1 access-list SMTP-Services
static (InternalInterface,ExternalInterface) 10.10.10.3 access-list SMTP-Services2

Desculpe, eu entendi exatamente o oposto do que você queria fazer.

Não se esqueça de adicionar uma lista de acesso na sua interface externa.

access-list _outside-in_ extended permit tcp host 10.10.10.1 host _YourExternalIP_ eq smtp
access-list _outside-in_ extended permit tcp host 10.10.10.3 host _YourExternalIP_ eq smtp
    
por 20.12.2012 / 20:29
1

Primeiro, você precisará atualizar para o ASA após o 8.3. Criar e objeto de rede com o intervalo de IPs para o público. Em seguida, crie uma rede de objetos para o endereço IP interno / real do servidor. Em seguida, adicione uma instrução nat chamando o primeiro objeto.

!
object network outside_email
 range 10.10.10.1 10.10.10.2

!
!
object network inside_email
 host 192.168.0.200
 nat (inside,outside) static outside_email
    
por 30.04.2013 / 20:24
0

Existe essa mesma pergunta em outro site do Stack Exchange aqui . Isso funciona porque o protocolo, o ip de origem, o ip de destino e a porta fazem parte da chave para esse mapeamento 1: 1. Também é uma ótima técnica para resiliência de rede se o BGP estiver fora de alcance.

    
por 23.09.2015 / 00:49