Difference between revisions of "NAT Cisco ASA"

From Teknologisk videncenter
Jump to: navigation, search
(Outside in - one-to-one nat)
m (Example)
 
(6 intermediate revisions by 2 users not shown)
Line 14: Line 14:
 
</source>
 
</source>
  
Version 9 ASA
+
<b>Version 9 ASA</b>
  
 
Ved det ser ud af rigtig meget når man skriver alt det her, men det giver mening i forhold til at holde styr på reglerne i firewallen via det grafiske interface, og det giver nemmere log gennemgang efterfølgende ved evt. fejl.
 
Ved det ser ud af rigtig meget når man skriver alt det her, men det giver mening i forhold til at holde styr på reglerne i firewallen via det grafiske interface, og det giver nemmere log gennemgang efterfølgende ved evt. fejl.
 +
 +
<i><b>BEMÆRK: </b>Det er bedst at bruge deres ASDM manager til at lave disse regler med.</i>
  
 
<b>Objekt</b>
 
<b>Objekt</b>
 
<source lang=cli>
 
<source lang=cli>
       object <b>network 217.198.220.139--SMTP.HOTDATA.DK </b>
+
       object network 217.198.220.139--SMTP.HOTDATA.DK
         host <b>212.198.213.139</b>
+
         host 212.198.213.139
     object network <b>WEB01.HOTDATA.DK</b>
+
     object network WEB01.HOTDATA.DK
         host <b>192.168.130.3</b>
+
         host 192.168.130.3
 
</source>
 
</source>
  
<b>NAT REGL</b>
+
==NAT REGEL==
 +
===Original source===
 +
<source lang=cli>
 +
      nat (OUTSIDE,INSIDE) 2 source static any any destination static 217.198.220.139--SMTP.HOTDATA.DK 192.168.130.15--SMTP.HOTDATA.DK no-proxy-arp description SMTP.HOTDATA.DK
 +
</source>
 +
===Change source address===
 
<source lang=cli>
 
<source lang=cli>
       nat (OUTSIDE,INSIDE) 2 source static any any destination static <b>217.198.220.139--SMTP.HOTDATA.DK 192.168.130.15--SMTP.HOTDATA.DK</b> no-proxy-arp description <b>SMTP.HOTDATA.DK</b>
+
       nat (OUTSIDE,INSIDE) 2 source static any interface destination static 217.198.220.139--SMTP.HOTDATA.DK 192.168.130.15--SMTP.HOTDATA.DK no-proxy-arp description SMTP.HOTDATA.DK
 
</source>
 
</source>
  
Line 37: Line 44:
 
         port-object eq http
 
         port-object eq http
 
         port-object eq https
 
         port-object eq https
       access-list global_access line 4 extended permit tcp any object <b>192.168.130.30--WEB01.HOTDATA.DK</b> object-group <b>DM_INLINE_TCP_5 </b>
+
       access-list global_access line 4 extended permit tcp any object 192.168.130.30--WEB01.HOTDATA.DK object-group DM_INLINE_TCP_5
 +
</source>
 +
 
 +
==Example==
 +
<source lang=cli>
 +
object network SVPjan18outside
 +
host 217.198.220.151
 +
object network SVPjan18inside
 +
host 192.168.151.111
 +
 
 +
nat (OUTSIDE,INSIDE) 2 source static any any destination static SVPjan18outside SVPjan18inside no-proxy-arp description SVP2018
 +
nat (OUTSIDE,INSIDE) 2 source static any interface destination static SVPjan18outside SVPjan18inside no-proxy-arp description SVP2018
 
</source>
 
</source>
  

Latest revision as of 08:16, 8 February 2018

Outside in - one-to-one nat

Internal IP: 192.168.138.152 External IP: 217.198.220.152

Version 8 ASA 

access-list H5MAJ2017 permit ip any host 192.168.138.152
access-group H5MAJ2017 in interface OUTSIDE
!
object network OBJ192.168.138.152
 host 192.168.138.152
 nat (INSIDE,OUTSIDE) static 217.198.220.152
!

Version 9 ASA

Ved det ser ud af rigtig meget når man skriver alt det her, men det giver mening i forhold til at holde styr på reglerne i firewallen via det grafiske interface, og det giver nemmere log gennemgang efterfølgende ved evt. fejl.

BEMÆRK: Det er bedst at bruge deres ASDM manager til at lave disse regler med.

Objekt 

      object network 217.198.220.139--SMTP.HOTDATA.DK
        host 212.198.213.139
     object network WEB01.HOTDATA.DK
        host 192.168.130.3

NAT REGEL

Original source

      nat (OUTSIDE,INSIDE) 2 source static any any destination static 217.198.220.139--SMTP.HOTDATA.DK 192.168.130.15--SMTP.HOTDATA.DK no-proxy-arp description SMTP.HOTDATA.DK

Change source address

      nat (OUTSIDE,INSIDE) 2 source static any interface destination static 217.198.220.139--SMTP.HOTDATA.DK 192.168.130.15--SMTP.HOTDATA.DK no-proxy-arp description SMTP.HOTDATA.DK

ACCESS LIST bemærk om der er oprettet en objekt gruppe der dækker det samme behov som du har før du opretter en ny 

      object-group service <>DM_INLINE_TCP_5 tcp
        port-object eq http
        port-object eq https
      access-list global_access line 4 extended permit tcp any object 192.168.130.30--WEB01.HOTDATA.DK object-group DM_INLINE_TCP_5

Example

object network SVPjan18outside
 host 217.198.220.151
object network SVPjan18inside
 host 192.168.151.111

nat (OUTSIDE,INSIDE) 2 source static any any destination static SVPjan18outside SVPjan18inside no-proxy-arp description SVP2018
nat (OUTSIDE,INSIDE) 2 source static any interface destination static SVPjan18outside SVPjan18inside no-proxy-arp description SVP2018

links

Retrieved from "http://mars.merhot.dk/w/index.php?title=NAT_Cisco_ASA&oldid=39719"