码迷,mamicode.com
首页 > 其他好文 > 详细

ASA842只允许内网主动发起访问的流量进行PAT测试

时间:2018-03-05 11:09:00      阅读:201      评论:0      收藏:0      [点我收藏+]

标签:ASA   PAT   

一.需求

1.内网服务器主动发起的访问都进行PAT,对外统一为一个地址

2.外部访问内网服务器的某些指定端口(比如TCP22,23),用的目标地址为内网服务器的真实地址


二.解决方案

1.配置动态PAT,让出去的流量进行地址转换,同时配置静态PAT,让进来的流量仍然用服务器真实地址

2.或者,配置动态PAT,让出去的流量进行地址转换,同时配置策略NAT(Twice-NAT),让源端口为指定端口的出去的流量转换后的地址为自身地址

3.通过测试,上面两种方式PAT出去的地址都可以为内网在用服务器的地址,只不过如果这样,需要增加静态PAT的配置,否则内网对应IP地址无法从外面访问,只能通过直连地址访问


二.测试拓扑

技术分享图片技术分享图片


三.基本配置:

1.Outside服务器

IP地址:202.100.1.88/24 

默认网关:202.100.1.1


2.Inside服务器

IP地址:10.68.200.88/24 

默认网关:10.68.200.1


3.ASA842

①接口配置:

interface GigabitEthernet0

 nameif inside

 security-level 100

 ip address 10.68.200.1 255.255.255.0

 no shut

!

interface GigabitEthernet1

 nameif outside

 security-level 0

 ip address 202.100.1.1 255.255.255.0

 no shut

!

②策略配置:

access-list outside extended permit ip any host 10.68.200.88

access-group outside in interface outside

 

三.NAT配置

①PAT配置:

---指定内网整个网段出去的流量进行PAT,也可以用range指定某个范围的IP

object network Inside-net

 subnet 10.68.200.0 255.255.255.0

object network Inside-net

 nat (inside,outside) dynamic interface


②静态PAT配置:

---对指定的端口进行静态PAT转换,如果同一IP有多个端口需要映射,需要配置多个不同名称的对象

object network inside_server1

 host 10.68.200.88

 nat (inside,outside) static inside_server1 service tcp 22 22

object network inside_server2

 host 10.68.200.88

 nat (inside,outside) static inside_server2 service tcp 23 23

 

或者:

②Twice NAT配置:

--指定源端口为内网指定的端口,NAT地址为自己的地址,即不做NAT处理

--如果对象中用range包含IP段,后续增加的服务器IP在IP段之内,就不用重新修改防火墙策略

object network inside_server

 host 10.68.200.88

object service SSH

 service tcp source eq ssh

object service TELNET

 service tcp source eq telnet

nat (inside,outside) source static inside_server inside_server service SSH SSH

nat (inside,outside) source static inside_server inside_server service TELNET TELNET


四.验证

①出去的流量做了PAT:

技术分享图片技术分享图片


---上面为用Inside服务器ssh ouside服务器时的截图


②进来的流量目标地址为内网真实地址:

技术分享图片技术分享图片

技术分享图片技术分享图片




ASA842只允许内网主动发起访问的流量进行PAT测试

标签:ASA   PAT   

原文地址:http://blog.51cto.com/333234/2082939

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!