我被要求配置我们的 ASA 5505,以便将流量从一个外部 IP(我们称之为 208.X)路由到任意数量的内部静态 IP。我被告知要考虑端口转发/映射。鉴于我对任何与网络相关的事情仍然或多或少一无所知,我无法判断我在此网站或 Google 上找到的任何信息是否相关。让我们从头开始。
- 我知道有多种方法可以实现我需要的功能。使用 ASA 通过多个端口进行路由是最好的方法吗?
- 如果上述问题的答案是肯定的...这是添加以打开(例如)端口 678 和 789 的适当配置吗?假设静态 IP 已配置。
访问列表 OUTSIDE_IN 扩展允许 tcp 任何主机 208.X eq www 访问列表 OUTSIDE_IN 扩展允许 tcp 任何主机 208.X eq 678 访问列表 OUTSIDE_IN 扩展允许 tcp 任何主机 208.X eq 789 接口外部的访问组 OUTSIDE_IN
我感觉我走错了方向。哪里定义了端口 678 流量流向内部 IP A,而端口 789 流量流向内部 IP B?
谢谢你的帮助。再次感谢你的任何指导。
答案1
您已经成功了一半 :)
一般来说,NATing 防火墙有两个基本要求,用于在接口之间移动流量。严格意义上来说,还有很多要求,但下面两个是最常遇到的。第一个是访问控制,第二个是转换规则。这种模式适用于大多数防火墙 - 即使它们没有在有限的 GUI(SOHO/消费者防火墙/路由器)中公开它 - GUI 可能会在底层为您完成它。但是,在 CLI 上,您必须小心配置访问控制和转换规则。
如果您的示例已使用访问列表配置了访问控制方面的内容。OUTSIDE_IN 访问列表与 IN 方向的外部接口绑定。
知道这一点,您的访问列表将告诉 ASA 允许从任何外部接口接收的 TCP 流量来源IP/TCP 端口组合注定适用于 TCP/80 上的 208.x、TCP/678 上的 208.x 以及 TCP/789 上的 208.x。
下一步(或者第一步,取决于您喜欢如何做事)是创建一个转换规则,以便流量得到转换——当然是在通过访问控制检查之后。
在 ASA 8.2 及更早版本中,这是通过静止的命令。在 ASA 8.3 及更高版本中实施了对 NAT 的重大更改 - 因此以下内容不适用于 8.3 及更高版本。
假设:
- 208.1.1.1/TCP/80 <-> 192.168.1.100/TCP/80
- 208.1.1.1/TCP/678 <-> 192.168.1.101/TCP/678
- 208.1.1.1/TCP/789 <-> 192.168.1.102/TCP/789
- 内部接口上的 192.168.1.0/24
我用 1 填充了外部 IP 地址的其余八位字节,以清楚地表明我们将在单个外部 IP 地址上进行端口地址转换 (PAT),特别是静态 PAT。这与更传统的静态 NAT 相反,在传统 NAT 中,每个内部 IP 都有自己独特的外部 IP。
static (inside,outside) tcp 208.1.1.1 80 192.168.1.100 80 netmask 255.255.255.255
static (inside,outside) tcp 208.1.1.1 678 192.168.1.101 678 netmask 255.255.255.255
static (inside,outside) tcp 208.1.1.1 789 192.168.1.102 789 netmask 255.255.255.255
一般情况下,应避免使用静态 PAT,因为从管理和技术角度来看,它是最丑陋的 NAT 类型。如果您需要将许多内部服务器暴露给互联网,最干净的方法是使用传统的静态 NAT ——其中每个服务器都有自己的外部 IP。
参考:
·韦弗