ASA842只允许内网主动发起访问的流量进行PAT测试

Posted 2020-10-26

一.需求

1.内网服务器主动发起的访问都进行PAT,对外统一为一个地址

2.外部访问内网服务器的某些指定端口（比如TCP22,23），用的目标地址为内网服务器的真实地址

二.解决方案

1.配置动态PAT,让出去的流量进行地址转换，同时配置静态PAT，让进来的流量仍然用服务器真实地址

2.或者，配置动态PAT,让出去的流量进行地址转换，同时配置策略NAT(Twice-NAT),让源端口为指定端口的出去的流量转换后的地址为自身地址

3.通过测试，上面两种方式PAT出去的地址都可以为内网在用服务器的地址，只不过如果这样，需要增加静态PAT的配置，否则内网对应IP地址无法从外面访问，只能通过直连地址访问

二.测试拓扑

三.基本配置：

1.Outside服务器

IP地址：202.100.1.88/24 

默认网关：202.100.1.1

2.Inside服务器

IP地址：10.68.200.88/24 

默认网关：10.68.200.1

3.ASA842

①接口配置：

interface GigabitEthernet0

 nameif inside

 security-level 100

 ip address 10.68.200.1 255.255.255.0

 no shut

!

interface GigabitEthernet1

 nameif outside

 security-level 0

 ip address 202.100.1.1 255.255.255.0

 no shut

!

②策略配置：

access-list outside extended permit ip any host 10.68.200.88

access-group outside in interface outside

 

三.NAT配置

①PAT配置：

---指定内网整个网段出去的流量进行PAT,也可以用range指定某个范围的IP

object network Inside-net

 subnet 10.68.200.0 255.255.255.0

object network Inside-net

 nat (inside,outside) dynamic interface

②静态PAT配置：

---对指定的端口进行静态PAT转换，如果同一IP有多个端口需要映射，需要配置多个不同名称的对象

object network inside_server1

 host 10.68.200.88

 nat (inside,outside) static inside_server1 service tcp 22 22

object network inside_server2

 host 10.68.200.88

 nat (inside,outside) static inside_server2 service tcp 23 23

 

或者：

②Twice NAT配置：

--指定源端口为内网指定的端口，NAT地址为自己的地址，即不做NAT处理

--如果对象中用range包含IP段，后续增加的服务器IP在IP段之内，就不用重新修改防火墙策略

object network inside_server

 host 10.68.200.88

object service SSH

 service tcp source eq ssh

object service TELNET

 service tcp source eq telnet

nat (inside,outside) source static inside_server inside_server service SSH SSH

nat (inside,outside) source static inside_server inside_server service TELNET TELNET

四.验证

①出去的流量做了PAT：

---上面为用Inside服务器ssh ouside服务器时的截图

②进来的流量目标地址为内网真实地址：