ASA842只允许内网主动发起访问的流量进行PAT测试

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了ASA842只允许内网主动发起访问的流量进行PAT测试相关的知识,希望对你有一定的参考价值。

一.需求

1.内网服务器主动发起的访问都进行PAT,对外统一为一个地址

2.外部访问内网服务器的某些指定端口(比如TCP22,23),用的目标地址为内网服务器的真实地址


二.解决方案

1.配置动态PAT,让出去的流量进行地址转换,同时配置静态PAT,让进来的流量仍然用服务器真实地址

2.或者,配置动态PAT,让出去的流量进行地址转换,同时配置策略NAT(Twice-NAT),让源端口为指定端口的出去的流量转换后的地址为自身地址

3.通过测试,上面两种方式PAT出去的地址都可以为内网在用服务器的地址,只不过如果这样,需要增加静态PAT的配置,否则内网对应IP地址无法从外面访问,只能通过直连地址访问


二.测试拓扑

技术分享图片技术分享图片


三.基本配置:

1.Outside服务器

IP地址:202.100.1.88/24 

默认网关:202.100.1.1


2.Inside服务器

IP地址:10.68.200.88/24 

默认网关:10.68.200.1


3.ASA842

①接口配置:

interface GigabitEthernet0

 nameif inside

 security-level 100

 ip address 10.68.200.1 255.255.255.0

 no shut

!

interface GigabitEthernet1

 nameif outside

 security-level 0

 ip address 202.100.1.1 255.255.255.0

 no shut

!

②策略配置:

access-list outside extended permit ip any host 10.68.200.88

access-group outside in interface outside

 

三.NAT配置

①PAT配置:

---指定内网整个网段出去的流量进行PAT,也可以用range指定某个范围的IP

object network Inside-net

 subnet 10.68.200.0 255.255.255.0

object network Inside-net

 nat (inside,outside) dynamic interface


②静态PAT配置:

---对指定的端口进行静态PAT转换,如果同一IP有多个端口需要映射,需要配置多个不同名称的对象

object network inside_server1

 host 10.68.200.88

 nat (inside,outside) static inside_server1 service tcp 22 22

object network inside_server2

 host 10.68.200.88

 nat (inside,outside) static inside_server2 service tcp 23 23

 

或者:

②Twice NAT配置:

--指定源端口为内网指定的端口,NAT地址为自己的地址,即不做NAT处理

--如果对象中用range包含IP段,后续增加的服务器IP在IP段之内,就不用重新修改防火墙策略

object network inside_server

 host 10.68.200.88

object service SSH

 service tcp source eq ssh

object service TELNET

 service tcp source eq telnet

nat (inside,outside) source static inside_server inside_server service SSH SSH

nat (inside,outside) source static inside_server inside_server service TELNET TELNET


四.验证

①出去的流量做了PAT:

技术分享图片技术分享图片


---上面为用Inside服务器ssh ouside服务器时的截图


②进来的流量目标地址为内网真实地址:

技术分享图片技术分享图片

技术分享图片技术分享图片




以上是关于ASA842只允许内网主动发起访问的流量进行PAT测试的主要内容,如果未能解决你的问题,请参考以下文章

网络运维必备

14-思科防火墙:ASA对IP分片的处理

Cisco ASA 应用NAT配置详解

asa防火墙基本上网综合实验

ASA防火墙数据包匹配顺序

IT技术分享思科防火墙ASA8.4以上IOS如何配置端口映射及PAT