所以我继承了一台 Cisco ASA 5505,但我对这些东西毫无经验!有两个面向 WAN 的网络接口,当然还有一个 LAN 接口。现在在 NAT 规则中,有两条规则:
Match Criteria: Original Packet Action Translated Packet:
SourceInt DesInt Source Destination Service Source Destination Service
3 inside Outside-ISP1 obj_Any any any Outside-ISP1 original original
4 inside Outside-ISP2 obj_Any2 any any Outside-ISP2 original original
如果我删除其中任何一个 NAT,则没有人可以通过我删除了 NAT 规则的接口访问 LAN 之外的任何内容。这条规则的作用是什么?
答案1
不想听起来居高临下,你应该验证你对NAT;
LAN 上的客户端可能有一个私有 IP 地址(从RFC1918) 无法通过 Internet 路由。两个 WAN 接口可能具有由它们所连接的两个 ISP 分配的公共可路由 IP 地址。
当 LAN 上的主机连接到 Internet 上的主机(例如 Web 服务器)时,它会向 ASA 发出请求,ASA 会将请求传递给远程 Internet 主机,但会将请求中的 LAN 主机的 IP 地址转换为其公共 IP 地址之一。如果 ASA 通过第一个 WAN 接口发送请求,ASA 会将请求的源 IP 更改为第一个 WAN 接口分配的 IP;
Action Translated Packet:
Source:
Outside-ISP1
如果请求是通过第二个 WAN 接口发送的,则它将使用另一个规则,Outside-ISP2并且请求会被修改为使用第二个 WAN 接口的源 IP,而不是 LAN 内部私有 IP 地址。
如果删除其中任一 NAT 规则,则 LAN 主机地址不会转换为公共可路由地址,并且发送到网站的请求将得不到答复,因为网站无法与私有 IP 地址上的主机进行通信,它不知道它在哪里或如何通过 Internet 到达那里。
由于两条规则看似相同,只看第一条:
SourceInt DesInt Source Destination Service Source Destination Service
3 inside Outside-ISP1 obj_Any any any Outside-ISP1 original original
该规则表明“任何进入名为 的接口inside(很可能是 LAN 接口)的流量,该接口的目的地是名为 的接口Outside-ISP1(很可能是第一个 WAN 接口,也可能是因为 ASA 上的默认路由而去往那里),其源 IP 与 中的 IP 匹配obj_Any(很可能与任何内部 LAN 主机 IP 匹配)并希望到达Destination并any通过Service;any它的源 IP 都会更改为Outside-ISP1(WAN1 接口的 IP),并且Destination保持原样,保持Service原样。
这些基于目的地和服务匹配流量的额外选项可用于其他类型的 NAT 规则,例如端口重定向或基于策略的路由。
答案2
您在生产时间摆弄配置吗?:)
它正在执行 NAT 转换...将发起流量的客户端的源地址更改为外部接口的源 IP(Outside-ISP1 或 Outside-ISP2,取决于它遇到的 NAT 规则)。
它说的是:
如果源是“obj_Any”列表中的对象,并且目标是任何服务/端口上的任何目标然后 新的源IP为Outside-ISP1接口的IP,目的IP和服务/端口保持不变。
您需要了解 NAT 的基本知识...它是什么,为什么存在等等。它比简单的解释(NAT 表、NAT/PAT 等等)更复杂。