NAT ASA
network objeckt содержит один объект (сеть, хост)objeckt group содержит многочисленные объекты
Существует три типа NAT на Cisco ASA v8.3 и выше. Они классифицируются по точности указания параметров NAT и исполняются от 1 до 3. От наиболее точно указанных параметров к наменее. Какой тип NAT выбрать, решает администратор.
1. Manual NAT. Проверяются первым. Можно менять source или destination или то и другое сразу.
2. Auto NAT oder Object NAT. Проверяется вторым. Можно менять только source (или только destination ???)
3. Manual NAT after Auto NAT. Проверяется третьим. Позволяет транслировать то, что не попало под действие более специфичных правил.
Если не найдено совпадений ни с одним правилом NAT, то трафик пропускается без трансляции согласно правилам ACL
Auto NAT
Для простоты представления удобен к применению для работы пользователей с интернетом. Когда пользователю известен destination интернет-сервера, а собственный "серый" source пользователя должен поменяться на белый адрес интернета.
Существуют 3 типа Object NAT:
1. Static NAT - трансляция one-to-one для хостов которые никогда не изменятся. Создает постоянную двунаправленную запись в NAT-таблице, без инициализации соединения.
2. Dynamic NAT - трансляция one-to-one. После инициализации соединения хостом, создает временную двунаправленную запись в таблице NAT. По-умолчанию такая трансляция живет 3 часа.
3. Dynamic PAT - трансляция many-to-one. После инициализации соединения хостом, создает временную однонаправленную запись в таблице NAT.
При статической трансляции возможна инициация коннекта с обоих сторон. Если этого не нужно применяется команда unidirectional.
Пример статического NAT:
object network inside-server
host 192.168.1.99
object network inside-server-global
host 10.1.1.1
object network inside-servernat (inside,any) static inside-server-global
Читается так: для трафика с source-адресом 192.168.1.99 проходящего с интерфейса inside на любой (any), source-адрес меняется на 10.1.1.1.
То есть правило сработает только при совпадении source & inside & any.
Пример
Пример:
При статической трансляции возможна инициация коннекта с обоих сторон. Если этого не нужно применяется команда unidirectional
Порядок обработки пакета на ASA
object network inside-servernat (inside,any) static inside-server-global
Читается так: для трафика с source-адресом 192.168.1.99 проходящего с интерфейса inside на любой (any), source-адрес меняется на 10.1.1.1.
То есть правило сработает только при совпадении source & inside & any.
Manual NAT
На мой взгляд наиболее простой для понимания вид NAT, при этом очень гибок.Пример
nat (inside,outside) sourse dynamic 10.0.1.0_network 192.168.1.7_outside destinetion static 200.16.5.1_Server 2.2.2.2_ServerЧитается так: при прохождении трафика с интерфейса inside на интерфейс outside из сети 10.0.1.0, source-адрес динамически меняется с 10.0.1.0 на 192.168.1.7, а destinetion-адрес статически меняется с 200.16.5.1 на 2.2.2.2. ("Статически" и "динамически" см. Auto NAT)
Manual NAT after Auto NAT.
Как говорилось проверяется последним, и содержит самые общие правила.Пример:
nat(any,outside) after-auto 1 source dynamic 10.0.0.0_Private 192.168.1.8_outsideТо есть транслирует клиентов на все внешние сети.
При статической трансляции возможна инициация коннекта с обоих сторон. Если этого не нужно применяется команда unidirectional
Порядок обработки пакета на ASA
стоит указать, что порядок обработки пакета, представленный на картинке соответствует asa версии 8,3 и ранее. Начиная с версии 8,4 сначала делается нат, а уже затем проверяется ACL
AntwortenLöschen