防火墙nat
- 格式:docx
- 大小:17.00 KB
- 文档页数:4
1、PAT
Object network inside-outside-all
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic interface
原有的语法:
nat (inside) 1 0 0
global (outside) 1 interface
2、多公网地址
object network inside-outside-translate
Range 10.1.1.1 10.1.1.100
object network inside-outside-all
subnet 0.0.0.0 0.0.0.0
nat (inside,outside) static inside-outside-translate
原有的语法:
nat (inside) 1 0 0
global (outside) 1 10.1.1.1 10.1.1.100
3、static nat
object network server-static
host 10.1.1.1
object network inside-server
host 200.0.9.10
nat (inside,outside) static server-static
原有语法:
static (inside,outside) 10.1.1.1 200.0.9.10 netmask 255.255.255.255
4、静态端口映射
object network Static-Outside-Address
host 200.1.1.1
object network Static-Inside-Address
host 10.1.1.1
nat (Inside,Outside) static Static-Outside-Address service tcp telnet 23 or nat (Inside,Outside) static 200.1.1.1 service tcp telnet 23
原有的语法:
static (inside,outside) tcp 200.1.1.1 23 10.1.1.1 23 netmask 255.255.255.255
1、配置路由
route outside 0.0.0.0 0.0.0.0 112.x.17.10
route inside 192.168.60.0 255.255.255.0 192.168.199.2
2、配置pat
object network inside-outside-all
subnet 0.0.0.0 0.0.0.0
nat(inside,outside)dynamic interface
3、配置acl
access-list 101 extended permit ip any any
access-group 101 in interface outside
在配置之前必须了解的....
一. PIX 6.3之前的版本,防火墙比较土,只要是穿越防火墙都需要创建转换项,比如:nat;static等等,没有转换项是不能穿越防火墙的。
PIX 7.0以后,可以通过关闭nat-control(PIX 7.0以后默认也是关闭的),使得流量不需要任何转换项也能正常的像路由器一样穿越防火墙。
当然,如果开启nat-control,规则与6.3之前一样。
二. 在nat-control开启的情况下:
不同security level的端口之间通讯必须有nat rule匹配,否则不通。
same security level的端口之间不需要nat rule,但一旦配置了nat,所有流量都必须匹配nat rule。
(需要配置same-security-level permit inter-interface,注意此时相同安全级别端口之间的通讯不受任何限制,包括ACL)
三. 很多人连路由和NAT都未分清楚就开始配置了,到头来就算能ping到,但却不知道什么原理。
这是很悲剧的一件事。
按着上面的例子,现在我们想R1通过ASA的nat访问R3,
要怎么做??注意了是通过NAT访问,而不是把ASA配置为路由器那样。
特别强调一点,很多人用模拟器来模拟公网那个路由器,但却在模拟的公网路由器上加一条默认路由指向ASA,这是错误的。
虽然那样可以让R1访问R3,但ASA不是用来路由的,是用来承载NAT 压力的?废话少说......
实验拓扑:
eg. R1----------inside------ASA-----outside----------R3
192.168.2.2 192.168.2.1 172.16.8.1 172.16.8.10
ASA配置
1. 配置outside接口放行的acl
access-list acl permit ip any any
access-group acl in interface outside
解析: 只配置IP,不配置其他任何设置, R1是可以ping通R3的,不过前提条件是要在ASA 的outside接口配置好放行的acl。
为什么要配置ACL?不是说ASA已经变成路由器了么?你还要知道ping是双向通信的,但有R1向R3发送icmp request而R3不能向R1发送icmp reply,那样整个通信是不生效的。
而ASA内部规定了低安全区域向高安全区域访问必须要配置相应的放行ACL。
此时ASA就像路由器一样。
2. 配置nat
nat (inside) 1 0.0.0.0 0.0.0.0
globle (outside) 1 interface
解析:这两句话的意思是把inside区域的所有地址进行映射,映射为outside端口的那个公网IP地址。
同时记得不要在outside的路由器上配置一条指向ASA的默认路由。
这时在R1上ping 172.16.8.10是通的,说明NAT已经成功匹配,你可以在ASA上用debug icmp trace 查看。
3. 配置默认路由
route outside 0.0.0.0 0.0.0.0 172.16.8.10
解析: NAT配置成功不代表R1就可以访问公网的所有地址,如果此时在R3上加一个lo 0接口,ip地址是3.3.3.3。
那么R1 ping 3.3.3.3是不通的,为什么不通??因为ASA只告诉了R1通过nat可以到达172.16.8.10这一个地址,而没有告诉R1如何到达其他outside的地址。
所以必须要在ASA上配置一条对外默认,route outside 0.0.0.0 0.0.0.0 172.16.8.10。
这样R1的流量可以通过ASA路由出去,回包通过ASA的NAT回来,整个通讯就可以完整地建立起来。
R3也永远只知道172.16.8.1这个地址在跟自己通信,而不知道inside区域的R1地址。
感觉自己说得很白了...............。