суббота, 2 августа 2014 г.

Инструкции NAT и PAT для PIX ASA 7.x

Данная статья содержит примеры основных конфигураций преобразования сетевых адресов (NAT) и преобразования адресов портов (PAT) в брандмауэрах Cisco PIX серии 500. В документе приведены упрощенные схемы сетей. Для работы с этиой статьей необходимо иметь представление о Security Appliances Cisco PIX серии 500 начиная с версии 7.0.
Команда nat-control в PIX указывает на то, что у всего трафика, идущего через брандмауэр, должна быть определенная запись преобразования (инструкция nat с инструкцией проверки соответствия global или static); в таком случае он сможет пройти через брандмауэр. Команда nat-control обеспечивает такой же способ преобразования, как и в в брандмауэрах PIX с версиями ПО, предшествующими 7.0. По умолчанию в конфигурации PIX 7.0 используется команда no nat-control. В брандмауэре PIX версии 7.0 можно изменить данное поведение посредством ввода команды nat-control.
При отключении nat-control PIX пересылает пакеты с более защищенного интерфейса на менее защищенный интерфейс без наличия специальной записи преобразования в конфигурации. Для того, чтобы трафик проходил с менее защищенного интерфейса на более защищенный, необходимо использовать списки доступа. В результате PIX будет пересылать трафик. В данном документе акцентируется внимание на поведении брандмауэра PIX при включении nat-control.

Несколько инструкций NAT с NAT 0

Схема сети
NAT PAT PIX ASA
В этом примере провайдер ISP обеспечил диспетчера сети диапазоном адресов от 199.199.199.1 до 199.199.199.63. Диспетчер сети решил присвоить 199.199.199.1 внутреннему интерфейсу маршрутизатора Интернета и 199.199.199.2 внешнему интерфейсу PIX.
Администратор сети уже назначил сети адрес класса C, 200.200.200.0/24, а некоторые рабочие станции используют эти адреса для доступа к Интернету. Этим рабочим станциям не требуется преобразование адреса, поскольку им уже присвоены действительные адреса. Однако новым рабочим станциям назначаются адреса сети 10.0.0.0/8, которые требуют преобразования (поскольку 10.x.x.x является одним из немаршрутизируемых адресных пространств согласно RFC 1918).
Для согласования с этой структурой сети администратор сети должен использовать в конфигурации PIX две инструкции NAT и один глобальный пул, как показано в следующих выходных данных:
global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
nat (inside) 0 200.200.200.0 255.255.255.0 0 0
nat (inside) 1 10.0.0.0 255.0.0.0 0 0
Эта конфигурация не преобразует адрес источника трафика, исходящего из сети 200.200.200.0/24. Она преобразует адрес источника из сети 10.0.0.0/8 в адрес из диапазона от 199.199.199.3 до 199.199.199.62.
Ниже приведено подробное разъяснение применения этой конфигурации с использованием Adaptive Security Device Manager (ASDM).
Примечание. Выполните все изменения конфигурации с использованием либо интерфейса командной строки, либо ASDM. Использование для изменения конфигурации и интерфейса командной строки, и ASDM может привести к неустойчивой работе с параметрами, измененными при помощи ASDM. Это не является ошибкой, но происходит вследствие особенностей работы ASDM.
Примечание. При открытии приложения ASDM оно импортирует текущую конфигурацию из PIX и пользуется этой конфигурацией при внесении и применении изменений. Если в PIX внесены изменения при открытой сессии ASDM, приложение ASDM больше не работает с тем, что оно "считает" текущей конфигурацией PIX. При внесении изменений в конфигурацию при помощи интерфейса командной строки следует убеждаться в закрытии всех сеансов ASDM. При необходимости работы с использованием графического интерфейса ASDM следует открыть снова.
  1. Запустите ASDM, перейдите на вкладку Configuration и щелкните NAT.
  2. Для создания нового правила щелкните Add.
NAT PAT PIX ASA
3. Откроется новое окно, которое позволит пользователю изменять параметры NAT для данной записи NAT. В данном примере используйте NAT для пакетов, поступающих на внутренний интерфейс, источником которых является сеть 10.0.0.0/24.
PIX преобразует эти пакеты в динамический пул IP-адресов внешнего интерфейса. После ввода информации, описывающей трафик, подвергающийся NAT, следует определить пул IP-адресов для преобразуемого трафика. Для добавления нового пула IP-адресов щелкните Manage Pools.
NAT PAT PIX ASA
4. Выберите outside и щелкните Add.
NAT PAT PIX ASA
5. Укажите диапазон IP-адресов для пула и присвойте пулу уникальный целочисленный идентификатор.
NAT PAT PIX ASA
6. После ввода соответствующих значений щелкните OK, после чего увидите новый пул, заданный для внешнего интерфейса.
NAT PAT PIX ASA
7. После определения пула щелкните OK, чтобы вернуться к окну настройки правил NAT.
Убедитесь в том, что в выпадающем меню Address Pool выбран только что созданный пул.
NAT PAT PIX ASA
8. Сейчас было создано преобразование NAT для пакетов, идущих через брандмауэр. Однако необходимо создать запись NAT, которая определяет трафик, не подвергающийся NAT. Щелкните переключатель Translation Exemption Rules, расположенный в верхней части окна. Затем для создания нового правила щелкните Add.
NAT PAT PIX ASA
9. В качестве источника выберите интерфейс inside и укажите подсеть 200.200.200.0/24. Оставьте установленные по умолчанию значения поля "When connecting".
NAT PAT PIX ASA
10. На данном этапе определены правила NAT. Для применения изменений к текущей рабочей конфигурации брандмауэра щелкните Apply.
Приведенные выходные данные показывают фактические добавления в конфигурацию PIX. Их вид немного отличается от результатов команд, введенных вручную, однако сами данные одинаковы.
access-list inside_nat0_outbound extended permit
ip 200.200.200.0 255.255.255.0 any
global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 10.0.0.0 255.255.255.0

Несколько глобальных пулов

Схема сети
NAT PAT PIX ASA
В этом примере диспетчер сети имеет два диапазона IP-адресов, зарегистрированных для Интернета. Диспетчер сети должен преобразовывать все внутренние адреса из диапазона 10.0.0.0/8 в зарегистрированные адреса. Диапазон IP адресов, которые должен использовать диспетчер сети: от 199.199.199.1 до 199.199.199.62 и от 150.150.150.1 до 150.150.150.254. Диспетчер сети может сделать это следующим образом:
global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
global (outside) 1 150.150.150.1-150.150.150.254 netmask 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
Примечание. В инструкции NAT используется схема адресации с символом подстановки. Эта инструкция указывает PIX на необходимость преобразовывать адрес любого внутреннего источника при его подключении к Интернету. При необходимости в этой команде можно указывать более конкретный адрес.

Смешанное использование глобальных инструкций NAT и PAT

Схема сети
NAT PAT PIX ASA
В этом примере ISP обеспечил диспетчера сети диапазоном адресов от 199.199.199.1 до 199.199.199.63 для использования компанией. Диспетчер сети решил использовать 199.199.199.1 для внутреннего интерфейса Интернет-маршрутизатора, а 199.199.199.2 — для внешнего интерфейса PIX. Для использования пула NAT остается диапазон адресов от 199.199.199.3 до 199.199.199.62. Однако диспетчеру сети известно, что в любой момент времени за пределы PIX могут попытаться выйти более 60 пользователей. Поэтому диспетчер сети решил использовать 199.199.199.62 и сделать его адресом РАТ, чтобы несколько пользователей могли одновременно использовать один адрес.
global (outside) 1 199.199.199.3-199.199.199.61 netmask 255.255.255.192
global (outside) 1 199.199.199.62 netmask 255.255.255.192
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
Эти команды указывают PIX на необходимость преобразовывать адреса источников в адреса от 199.199.199.3 до 199.199.199.61 для первых 59 внутренних пользователей, выходящих за пределы PIX. После того, как эти адреса будут заняты, PIX преобразует все последующие адреса источников в 199.199.199.62, пока не освободится один из адресов в пуле NAT.
Примечание. В инструкции NAT используется схема адресации с символом подстановки. Эта инструкция указывает PIX на необходимость преобразовывать адрес любого внутреннего источника при его подключении к Интернету. При необходимости в этой команде можно указывать более конкретный адрес.

Несколько инструкций NAT с NAT 0 Access-List

Схема сети
NAT PAT PIX ASA
В этом примере ISP обеспечил диспетчера сети диапазоном адресов от 199.199.199.1 до 199.199.199.63. Диспетчер сети решил присвоить 199.199.199.1 внутреннему интерфейсу маршрутизатора Интернета и 199.199.199.2 внешнему интерфейсу PIX.
Однако в этом случае другой сегмент частной локальной сети размещен за Интернет-маршрутизатором. Диспетчер сети предпочитает не использовать адреса из глобального пула, если узлы в этих двух сетях обмениваются данными между собой. Диспетчеру сети по-прежнему необходимо преобразовывать адреса источников для всех внутренних пользователей (10.0.0.0/8) при их подключении к Интернету.
access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0
global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192
nat (inside) 0 access-list 101
nat (inside) 1 10.0.0.0 255.0.0.0 0 0
Эта конфигурация не преобразует адреса, где адрес источника 10.0.0.0/8, а адрес назначения 192.168.1.0/24. Она преобразует адрес источника любого трафика, исходящего из сети 10.0.0.0/8 и предназначенного любому адресату, не принадлежащему сети 192.168.1.0/24, в адрес из диапазона от 199.199.199.3 до 199.199.199.62.

Использование политики NAT

Схема сети
NAT PAT PIX ASA
При использовании списка доступа с командой nat для любого идентификатора NAT, отличного от 0, включается политика NAT.
Политика NAT позволяет распознавать локальный трафик, предназначенный для преобразования адресов при указании адресов (или портов) источника и места назначения в списке доступа. В обычном режиме NAT использует только исходные адреса/порты, тогда как политика NAT использует адреса/порты как источника, так и места назначения.
Примечание. Политику NAT поддерживают все типы NAT кроме исключений NAT (nat 0 access-list). Для определения локальных адресов исключение NAT использует список контроля доступа, но оно отличается от политики NAT тем, что не использует порты.
Используя политику NAT можно создавать несколько инструкций NAT или статических инструкций, которые указывают на один и тот же локальный адрес, пока комбинация источник/порт и назначение/порт остается уникальной для каждой инструкции. Затем каждой паре источник/порт и назначение/порт можно сопоставить разные глобальные адреса.
В данном примере диспетчер сети предоставляет доступ для IP-адреса назначения 209.165.201.11 для порта 80 (web) и порта 23 (Telnet), но в качестве адреса источника он должен использовать два разных IP-адреса. IP-адрес 199.199.199.3 используется в качестве адреса источника для web. IP-адрес 199.199.199.4 используется для Telnet и необходимо преобразовывать все внутренние адреса из диапазона 10.0.0.0/8. Диспетчер сети может сделать это следующим образом:
access-list WEB permit tcp 10.0.0.0 255.0.0.0 209.165.201.11
255.255.255.255 eq 80
access-list TELNET permit tcp 10.0.0.0 255.0.0.0 209.165.201.11
255.255.255.255 eq 23
nat (inside) 1 access-list WEB
nat (inside) 2 access-list TELNET
global (outside) 1 199.199.199.3 255.255.255.192
global (outside) 2 199.199.199.4 255.255.255.192

Статическое преобразование сетевых адресов (Static NAT)

Схема сети
NAT PAT PIX ASA
Конфигурация статического NAT создает сопоставление "один к одному" и преобразует определенный адрес в другой адрес. Данный тип конфигурации создает в таблице NAT постоянную запись, существующую до тех пор, пока существует конфигурация, и разрешает инициировать соединения как внутренним, так и внешним хостам. Обычно это используется для хостов, на которых запущены службы, например, электронная почта, веб-сервер, FTP и другие. В данном примере статические инструкции NAT настроены так, чтобы позволять внутренним и внешним пользователям получать доступ к веб-серверу в демилитаризованной зоне.
Приведенные выходные данные демонстрируют построение статической инструкции. Следует помнить о порядке сопоставленных и реальных IP-адресов.
static (real_interface,mapped_interface) mapped_ip real_ip netmask mask
Ниже приведен пример статического преобразования, созданного для того, чтобы пользователи с внутреннего интерфейса могли получить доступ к серверу в демилитаризованной зоне. Здесь создается сопоставление между внутренним адресом и адресом сервера в демилитаризованной зоне. При этом внутренние пользователи могут получать доступ к серверу в демилитаризованной зоне с использованием внутреннего адреса.
static (DMZ,inside)10.0.0.10 192.168.100.10 netmask 255.255.255.255
Ниже приведен пример статического преобразования, созданного для того, чтобы пользователи с внешнего интерфейса могли получить доступ к серверу в демилитаризованной зоне. Здесь создается сопоставление между внешним адресом и адресом сервера в демилитаризованной зоне. При этом внешние пользователи могут получать доступ к серверу в демилитаризованной зоне с использованием внешнего адреса.
static (DMZ,outside) 172.16.1.5 192.168.100.10 netmask 255.255.255.255
Примечание. Поскольку уровень защиты внешнего интерфейса ниже уровня защиты демилитаризованной зоны, необходимо также создать список доступа, позволяющий внешним пользователям подключаться к серверу в демилитаризованной зоне. Список доступа должен предоставлять пользователям доступ к сопоставленному адресу в статическом преобразовании. Рекомендуется делать этот список доступа как можно более конкретным. В данном случае любой хост может получить доступ только к портам 80 (www/http) и 443 (https) веб-сервера.
access-list OUTSIDE extended permit tcp any host 172.16.1.5 eq www
access-list OUTSIDE extended permit tcp any host 172.16.1.5 eq https
Список доступа также необходимо применить к внешнему интерфейсу.
access-group OUTSIDE in interface outside
Источник: blogsvazista.ru/nat-pat-pix-as/

Комментариев нет:

Отправить комментарий