O Cisco Network Object NAT para obter Internet?

Question

O Cisco Network Object NAT para obter Internet?

#1 resposta do (3 votos)
#2 resposta do (0 votos)

2

Então, eu herdei um Cisco ASA 5505 e não tenho nenhuma experiência com as coisas! Existem duas interfaces de rede, ambas com interface WAN, e a interface LAN, é claro. Agora, nas regras NAT, existem duas regras:

Match Criteria: Original Packet                           Action Translated Packet: 
  SourceInt  DesInt        Source  Destination  Service   Source       Destination Service        
3  inside    Outside-ISP1  obj_Any    any        any      Outside-ISP1   original    original
4  inside    Outside-ISP2  obj_Any2   any        any      Outside-ISP2   original    original

Se eu remover qualquer um desses NATs, ninguém poderá acessar nada fora da LAN na interface mencionada da qual removi a regra de NAT. O que esta regra está fazendo?

firewall cisco ip routing nat

por PnP 19.06.2013 / 20:37

2 respostas

0

Você está brincando com a configuração durante o horário de produção? :)

Ele está realizando tradução NAT ... alterando o endereço de origem do cliente iniciando o tráfego para o IP de origem da interface externa (Outside-ISP1 ou Outside-ISP2, dependendo de qual regra NAT ele atinge).

Está dizendo:

Se a origem for um objeto na lista "obj_Any" e o destino for QUALQUER destino em QUALQUER serviço / porta ENTÃO o novo IP de origem é o IP da interface Outside-ISP1 e o IP de destino e o serviço / porta permanecem originais / inalterados.

Você precisa ler sobre o NAT basicamente ... o que é, por que existe, etc. É mais complexo do que essa simples explicação (tabelas NAT, NAT / PAT, etc., etc.)

por 19.06.2013 / 20:42

Tags firewall cisco ip routing nat

Como habilitar o módulo spdy no nginx 1.4.1? O GPO mostra como sendo aplicado, mas as configurações não foram implementadas

score 3 · Accepted Answer

Não querendo parecer condescendente, você deve verificar sua compreensão de NAT ;

Os clientes na LAN provavelmente têm endereços IP privados (de RFC1918 ) que não são roteáveis pela Internet. As duas interfaces WAN provavelmente têm endereços IP públicos roteáveis alocados dos dois ISPs que estão conectados também.

Quando um host na LAN se conecta a um host na Internet, como um servidor da Web, ele faz a solicitação ao ASA, e o ASA transmite a solicitação ao host da Internet remoto, mas traduz o endereço IP da LAN host dentro do pedido, para um dos seus endereços IP públicos. Se o ASA enviar a solicitação através da primeira interface WAN, o ASA mudará o IP de origem da solicitação para o IP atribuído à primeira interface WAN;

 Action Translated Packet: 
 Source:
 Outside-ISP1

Se a solicitação for enviada pela segunda interface WAN, ela usa a outra regra, Outside-ISP2 , e a solicitação é modificada para usar o IP de origem da segunda interface WAN, em vez do endereço IP interno da LAN.

Se você descartar uma dessas regras de NAT, os endereços de host da LAN não serão convertidos em um endereço público roteável e a solicitação será enviada ao site e não será respondida, porque o site não poderá se comunicar com um host em um endereço IP privado, ele não saberá onde está nem como chegar pela Internet.

Como ambas as regras são aparentemente as mesmas, basta olhar para a primeira:

  SourceInt  DesInt        Source  Destination  Service   Source       Destination Service        
3  inside    Outside-ISP1  obj_Any    any        any      Outside-ISP1   original    original

Esta regra está dizendo "Qualquer tráfego que chegue à interface chamada inside (que provavelmente será a interface da LAN), que é destinado à interface chamada Outside-ISP1 (que provavelmente será a primeira A interface WAN, também estará lá provavelmente por causa de uma rota padrão no ASA), que vem do IP de origem correspondente àqueles em obj_Any (que provavelmente corresponde a qualquer IP de host de LAN interno) procurando alcançar um Destination de any e através de Service de any ; terá seu IP de origem alterado para Outside-ISP1 (o IP da interface WAN1) e o Destination restante como está e o Service restante como está.

Essa opção extra para correspondência de tráfego com base no destino e no serviço pode ser usada para outros tipos de regras de NAT, como redirecionamento de porta ou roteamento baseado em política.