O ASA 8.3 e acima mudou muito o NAT no sistema operacional ASA.
Se você estiver definindo o comportamento do NAT no modo de configuração de objeto (dentro de um objeto), ele será chamado NAT de objeto. Se você estiver definindo o comportamento do NAT no modo de configuração global, ele será chamado de NAT duas vezes. Não deixe de ler o Guia do CLI de 8,4 Seções no NAT
No objeto NAT, apenas uma única instrução de NAT pode ser usada por objeto. Como tal, se você quiser implementar o PAT estático (port forwarding em termos leigos), você precisará criar um objeto para cada porta a ser encaminhada - seja para o mesmo host interno ou para diferentes hosts internos.
Abaixo está um resumo de como eu configuro o PAT estático. O processo para NAT estático é o mesmo, mas omite a etapa 2.-
Crie um host
object
para o host interno / interno. Não use uma instruçãonat
nesteobject
se este host for usado para PAT estático. (No caso de estático NAT , uma declaraçãonat
deve ser usada neste objeto.) -
Crie outro host
object
a ser usado para cada PAT estático no host interno. A nomenclatura é importante, pois uma instruçãonat
estará nesse objeto. Use uma instruçãonat
neste objeto para encaminhar a porta / serviço. -
Crie um
object-group
do tiposervice
para todas as "portas / serviços" que são encaminhadas / permitidas para o host interno / interno. Esteobject-group
é não usado para propósitos de NAT / PAT, mas para o ACL mais tarde. -
Com a regra NAT (static PAT) definida no
object
, coloque os requisitos de ACL juntos emaccess-list
.
Abaixo está um exemplo que inclui o seguinte do seu próprio exemplo:
- Estático PAT dois serviços de um IP externo para dois dentro de IP's / hosts.
- Static PAT dois serviços de um IP externo para um dentro do IP / host.
- (adicionado) O NAT estático de um IP externo para um dentro de IP / host com o ACL permite 5 serviços.
Exemplo:
object network hst-192.168.1.5
host 192.168.1.5
description Server1 Host Object
object network hst-192.168.1.5-tcp85
host 192.168.1.5
description Server1 TCP/85 Static PAT Object
nat (inside,outside) static 5.5.5.5 service tcp 85 85
object network hst-192.168.1.9
host 192.168.1.9
description Server2 Host Object
object network hst-192.168.1.9-tcp33
host 192.168.1.9
description Server2 TCP/33 Static PAT Object
nat (inside,outside) static 5.5.5.5 service tcp 33 33
object network hst-192.168.1.20
host 192.168.1.20
description Server3 Host Object
object network hst-192.168.1.20-tcp80
host 192.168.1.20
description Server3 TCP/80 Static PAT Object
nat (inside,outside) static 6.6.6.6 service tcp 80 80
object network hst-192.168.1.20-tcp443
host 192.168.1.20
description Server3 TCP/443 Static PAT Object
nat (inside,outside) static 6.6.6.6 service tcp 443 443
object network hst-192.168.1.30
host 192.168.1.30
description Server4 Host Object (and Static NAT)
nat (inside,outside) static 7.7.7.7
object-group service svcgrp-192.168.1.5-tcp tcp
port-object eq 85
object-group service svcgrp-192.168.1.9-tcp tcp
port-object eq 33
object-group service svcgrp-192.168.1.9-tcp tcp
port-object eq 80
port-object eq 443
object-group service svcgrp-192.168.1.30-tcp tcp
port-object eq 20
port-object eq 21
port-object eq 22
port-object eq 80
port-object eq 443
access-list outside_access_in extended permit tcp any object hst-192.168.1.5 object-group svcgrp-192.168.1.5-tcp
access-list outside_access_in extended permit tcp any object hst-192.168.1.9 object-group svcgrp-192.168.1.9-tcp
access-list outside_access_in extended permit tcp any object hst-192.168.1.20 object-group svcgrp-192.168.1.20-tcp
access-list outside_access_in extended permit tcp any object hst-192.168.1.30 object-group svcgrp-192.168.1.30-tcp
access-group outside_access_in in interface outside
O que você pode tirar do exemplo (e do novo estilo NAT em geral) é o seguinte:
- O Static PAT parece estar um pouco mais envolvido do que deveria - especialmente quando se trata de encaminhamento em muitos serviços / portas diferentes.
- NAT estático - no modo de objeto de rede é muito mais simples. Se estiver usando objetos totalmente (para hosts e grupos de serviços) - "permitir" mais portas pode ser tão simples quanto adicionar uma entrada ao grupo de serviços.
- Use o NAT estático sempre que possível devido à sua simplicidade.
- Se você não tiver uma convenção de nomenclatura / padrão, sua configuração ficará fora de controle e será difícil de ler muito rapidamente.