NAT um IP público para dois servidores internos no ASA 8.4

1

por exemplo, eu quero:

 NAT 5.5.5.5 tcp 85 to 192.168.1.5 tcp 85
 NAT 5.5.5.5 tcp 33 to 192.168.1.9 tcp 33
 NAT 6.6.6.6 tcp 80 443 to 192.168.1.20 tcp 80 443

O jeito que eu ia fazer isso era:

object obj-192.168.1.5
host 192.168.1.5
nat (inside,outside) static 5.5.5.5 service tcp 85 85

object obj-192.168.1.9
host 192.168.1.9
nat (inside,outside) static 5.5.5.5 service tcp 33 33

object obj-192.168.1.20
host 192.168.1.9
nat (inside,outside) static 6.6.6.6. ????

Em seguida, adicione uma ACL para permitir o tráfego. Não sei como criar um grupo de serviços e aplicá-lo ao NAT, parece permitir apenas que você insira uma porta por vez.

Alguma ideia de como fazer isso?

    
por evolvd 10.02.2012 / 18:47

2 respostas

2

O ASA 8.3 e acima mudou muito o NAT no sistema operacional ASA.

Se você estiver definindo o comportamento do NAT no modo de configuração de objeto (dentro de um objeto), ele será chamado NAT de objeto. Se você estiver definindo o comportamento do NAT no modo de configuração global, ele será chamado de NAT duas vezes. Não deixe de ler o Guia do CLI de 8,4 Seções no NAT

No objeto NAT, apenas uma única instrução de NAT pode ser usada por objeto. Como tal, se você quiser implementar o PAT estático (port forwarding em termos leigos), você precisará criar um objeto para cada porta a ser encaminhada - seja para o mesmo host interno ou para diferentes hosts internos.

Abaixo está um resumo de como eu configuro o PAT estático. O processo para NAT estático é o mesmo, mas omite a etapa 2.

  1. Crie um host object para o host interno / interno. Não use uma instrução nat neste object se este host for usado para PAT estático. (No caso de estático NAT , uma declaração nat deve ser usada neste objeto.)

  2. Crie outro host object a ser usado para cada PAT estático no host interno. A nomenclatura é importante, pois uma instrução nat estará nesse objeto. Use uma instrução nat neste objeto para encaminhar a porta / serviço.

  3. Crie um object-group do tipo service para todas as "portas / serviços" que são encaminhadas / permitidas para o host interno / interno. Este object-group é não usado para propósitos de NAT / PAT, mas para o ACL mais tarde.

  4. Com a regra NAT (static PAT) definida no object , coloque os requisitos de ACL juntos em access-list .

Abaixo está um exemplo que inclui o seguinte do seu próprio exemplo:

  • Estático PAT dois serviços de um IP externo para dois dentro de IP's / hosts.
  • Static PAT dois serviços de um IP externo para um dentro do IP / host.
  • (adicionado) O NAT estático de um IP externo para um dentro de IP / host com o ACL permite 5 serviços.

Exemplo:

object network hst-192.168.1.5
 host 192.168.1.5
 description Server1 Host Object

object network hst-192.168.1.5-tcp85
 host 192.168.1.5
 description Server1 TCP/85 Static PAT Object
 nat (inside,outside) static 5.5.5.5 service tcp 85 85

object network hst-192.168.1.9
 host 192.168.1.9
 description Server2 Host Object

object network hst-192.168.1.9-tcp33
 host 192.168.1.9
 description Server2 TCP/33 Static PAT Object
 nat (inside,outside) static 5.5.5.5 service tcp 33 33

object network hst-192.168.1.20
 host 192.168.1.20
 description Server3 Host Object

object network hst-192.168.1.20-tcp80
 host 192.168.1.20
 description Server3 TCP/80 Static PAT Object
 nat (inside,outside) static 6.6.6.6 service tcp 80 80

object network hst-192.168.1.20-tcp443
 host 192.168.1.20
 description Server3 TCP/443 Static PAT Object
 nat (inside,outside) static 6.6.6.6 service tcp 443 443

object network hst-192.168.1.30
 host 192.168.1.30
 description Server4 Host Object (and Static NAT)
 nat (inside,outside) static 7.7.7.7

object-group service svcgrp-192.168.1.5-tcp tcp
 port-object eq 85

object-group service svcgrp-192.168.1.9-tcp tcp
 port-object eq 33

object-group service svcgrp-192.168.1.9-tcp tcp
 port-object eq 80
 port-object eq 443

object-group service svcgrp-192.168.1.30-tcp tcp
 port-object eq 20
 port-object eq 21
 port-object eq 22
 port-object eq 80
 port-object eq 443

access-list outside_access_in extended permit tcp any object hst-192.168.1.5 object-group svcgrp-192.168.1.5-tcp
access-list outside_access_in extended permit tcp any object hst-192.168.1.9 object-group svcgrp-192.168.1.9-tcp
access-list outside_access_in extended permit tcp any object hst-192.168.1.20 object-group svcgrp-192.168.1.20-tcp
access-list outside_access_in extended permit tcp any object hst-192.168.1.30 object-group svcgrp-192.168.1.30-tcp

access-group outside_access_in in interface outside

O que você pode tirar do exemplo (e do novo estilo NAT em geral) é o seguinte:

  • O Static PAT parece estar um pouco mais envolvido do que deveria - especialmente quando se trata de encaminhamento em muitos serviços / portas diferentes.
  • NAT estático - no modo de objeto de rede é muito mais simples. Se estiver usando objetos totalmente (para hosts e grupos de serviços) - "permitir" mais portas pode ser tão simples quanto adicionar uma entrada ao grupo de serviços.
  • Use o NAT estático sempre que possível devido à sua simplicidade.
  • Se você não tiver uma convenção de nomenclatura / padrão, sua configuração ficará fora de controle e será difícil de ler muito rapidamente.
por 13.02.2012 / 00:41
2

Cada linha 'nat' só pode ser usada para uma única porta ou todas as portas (qualquer). Fazer a tradução de duas portas requer duas linhas.

object obj-192.168.1.20
host 192.168.1.9
nat (inside,outside) static 6.6.6.6 service tcp 80 80
nat (inside,outside) static 6.6.6.6 service tcp 443 443
    
por 10.02.2012 / 19:24