码迷,mamicode.com
首页 > 其他好文 > 详细

ASA防火墙应用配置(NAT和PAT)

时间:2015-04-12 10:48:08      阅读:213      评论:0      收藏:0      [点我收藏+]

标签:outside   ip地址   

                                         实验配置ASA应用(NATPAT

技术分享

inisde区域是内部,ip地址192.168.1.1网关,outside区域是外部,也就是公网12.0.0.0网段,DMZ区域是隔离区,ip地址192.168.10.1

C3server2008服务器并且提供WEB网站,IP地址13.0.0.2,网关13.0.0.1,虚拟机网卡绑定VMnet1

C2linux服务器并且提供APACHE服务,ip地址192.168.10.10,网关192.168.10.1,虚拟机网卡绑定VMnet2

C1是内部的主机ip地址是192.168.1.2,网关192.168.1.1,宿主机网卡是Loopback(回环网卡),并且DNS指向13.0.0.2

实验步骤:

1.首先我搭建server2008服务器的web(网站为accp.com

设置网卡,以及ip地址

技术分享

这里DNS指向自己目的是为了解析,在server2008服务器上搭建DNS并且创建区域,地址指向Linux服务器

技术分享

添加角色

技术分享

先搭建DNS(域名解析)

技术分享

技术分享

技术分享

然后在搭建WEB

技术分享

技术分享

技术分享

测一下WEB

技术分享

创建两个正向查询区域(下面都是一样)

技术分享

技术分享

技术分享

第一个区域名称benet.com(第二个区域是accp.com,然后下一步,下一步)

技术分享

技术分享

技术分享

a记录(benet.com ip 192.168.10.10(accp.com ip13.0.0.2)

技术分享

 

2.搭建linux服务器APACHE服务(网站为benet.com

首先查看网卡绑定vmnet1,在进入linux图形化界面,点击终端,用ifconfig查看ip地址

技术分享

技术分享

 

查看网关

技术分享

在用vi编辑器配置httpd.conf文件

技术分享

监听端口

技术分享

名字改下

技术分享

主机名修改成sr1

技术分享

启用httpd服务,并且关闭防火墙

技术分享

输入ip地址检测下apache

技术分享

 

3.配置R1ASA(交换机是二层所以什么都不用配置,在这里pc机是不能直接连asa防火墙,所以加了个二层交换机)

首先配置R1 ip地址和默认路由

技术分享

配置ASA

首先还是先初始化

技术分享

然后配置接口名称和ip地址,在配置下接口的安全级别(inside默认100dmz配下50 outside默认为0

技术分享

ASA上配置默认路由

技术分享

 

然后在宿主机上查看下ip地址并且访问www.benet.comwww.accp.com

技术分享

技术分享

技术分享

4.开启NAT转换(动态)

把内部所有地址转换成outside接口地址,并且查看nat转换表

技术分享

ping不通13.0.0.2

技术分享

如果想ping通,配置ACL并且允许ICMP进行穿越

技术分享

应用入口方向的outside接口上

技术分享

 

这样就能ping通了

技术分享

抓个包,查看下nat转换

技术分享

5.默认C1或者是内部所有地址可以访问任何网段,假如我不想192.168.1.5 通过,那么我就要在inside上配置ACL(在这里我把C1ip改成192.168.1.5

配置ACL,拒绝ip 192.168.1.5 所有

技术分享

应用接口inside

技术分享

在回到宿主上把IP地址改成192.168.1.5,并且访问www.accp.com或者www.benet.com(注意:如果还能访问,清除下DNS缓存,命令为ipconfig /flushdns)

技术分享

6.C2做个静态NAT(双向通信),映射一个地址为12.0.0.1这个网段,要让C3能够访问C2 DMZ区域,但是C3访问C2不能是C2的原来地址,而是C2映射过后的地址也就是12.0.0.1

配置静态NAT(注意:先配置outside地址12.0.0.3,在配置DMZ地址192.168.10.10

技术分享

我想外面可以访问进来,做个策略配置ACL只允许访问我的网站(允许13.0.0.2访问C2映射过后的地址12.0.0.3)并且应用outside接口

技术分享

在这里注意个问题,一个接口只能应用一个outside,现在外面已经应用了两条,所以现在这条覆盖了access-list 111 ,想要解决,就把ICMP允许所有,这样就能应用这两条ACL访问控制列表

技术分享

在到Server2008服务器上输入C2的映射过后的地址12.0.0.3

技术分享

 

                     

ASA防火墙应用配置(NAT和PAT)

标签:outside   ip地址   

原文地址:http://humajun.blog.51cto.com/9520388/1631430

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!