NAT ASA8.4上の2つの内部サーバーへの1つのパブリックIP
たとえば、私はしたい:
NAT 5.5.5.5 tcp 85 to 192.168.1.5 tcp 85
NAT 5.5.5.5 tcp 33 to 192.168.1.9 tcp 33
NAT 6.6.6.6 tcp 80 443 to 192.168.1.20 tcp 80 443
私がこれをやろうとしていた方法は:
object obj-192.168.1.5
Host 192.168.1.5
nat (inside,outside) static 5.5.5.5 service tcp 85 85
object obj-192.168.1.9
Host 192.168.1.9
nat (inside,outside) static 5.5.5.5 service tcp 33 33
object obj-192.168.1.20
Host 192.168.1.9
nat (inside,outside) static 6.6.6.6. ????
次に、ACLを追加してトラフィックを許可します。サービスグループを作成してNATに適用する方法がわかりません。一度に、1つのポートしか入力できないようです。
これを行う方法はありますか?
ASA8.3以降ではASAOSでNAT)が大幅に変更されました。
オブジェクト設定モード(オブジェクト内)でNAT動作を定義している場合、それはオブジェクトNATと呼ばれます。グローバルでNAT動作を定義している場合、構成モードでは、2回NATと呼ばれます。必ず 8.4 CLIガイドのNATに関するセクションをお読みください。
オブジェクトNATでは、オブジェクトごとに使用できるNAT statement)は1つだけです。したがって、静的PAT(素人の用語でのポート転送)を実装する場合は、転送するポートごとにオブジェクトを作成する必要があります-それが同じ内部ホストにあるか、異なる内部ホストにあるかにかかわらず。
以下は、静的PATを構成する方法の概要です。 static NATのプロセスは同じですが、ステップ2が省略されています。
内部/内部ホストのホスト
objectを作成します。このホストが静的[〜#〜] pat [〜#〜]に使用される場合は、このnatでobjectステートメントを使用しないでください= 。 (静的[〜#〜] nat [〜#〜]の場合、このオブジェクトではnatステートメントを使用する必要があります。)内部ホストへの静的PATごとに使用する別のホスト
objectを作成します。natステートメントがこのオブジェクトにあるため、名前付けは重要です。このオブジェクトでnatステートメントを使用して、ポート/サービスを転送します。内部/内部ホストに転送/許可されるすべての「ポート/サービス」に対して、タイプ
serviceのobject-groupを作成します。このobject-groupはnot NAT/PATの目的で使用されますが、後でACLに使用されます。objectで定義されたNAT(static PAT)ルールを使用して、ACL要件をaccess-listにまとめます。
以下は、あなた自身の例からの以下を含む例です:
- 1つの外部IPから2つの内部IP /ホストへの静的PAT2サービス。
- 1つの外部IPから1つの内部IP /ホストへの静的PAT2サービス。
- (追加)静的NAT 1つの外部IPから1つの内部IP /ホストへのACL許可5サービス。
例:
object network hst-192.168.1.5
Host 192.168.1.5
description Server1 Host Object
object network hst-192.168.1.5-tcp85
Host 192.168.1.5
description Server1 TCP/85 Static PAT Object
nat (inside,outside) static 5.5.5.5 service tcp 85 85
object network hst-192.168.1.9
Host 192.168.1.9
description Server2 Host Object
object network hst-192.168.1.9-tcp33
Host 192.168.1.9
description Server2 TCP/33 Static PAT Object
nat (inside,outside) static 5.5.5.5 service tcp 33 33
object network hst-192.168.1.20
Host 192.168.1.20
description Server3 Host Object
object network hst-192.168.1.20-tcp80
Host 192.168.1.20
description Server3 TCP/80 Static PAT Object
nat (inside,outside) static 6.6.6.6 service tcp 80 80
object network hst-192.168.1.20-tcp443
Host 192.168.1.20
description Server3 TCP/443 Static PAT Object
nat (inside,outside) static 6.6.6.6 service tcp 443 443
object network hst-192.168.1.30
Host 192.168.1.30
description Server4 Host Object (and Static NAT)
nat (inside,outside) static 7.7.7.7
object-group service svcgrp-192.168.1.5-tcp tcp
port-object eq 85
object-group service svcgrp-192.168.1.9-tcp tcp
port-object eq 33
object-group service svcgrp-192.168.1.9-tcp tcp
port-object eq 80
port-object eq 443
object-group service svcgrp-192.168.1.30-tcp tcp
port-object eq 20
port-object eq 21
port-object eq 22
port-object eq 80
port-object eq 443
access-list outside_access_in extended permit tcp any object hst-192.168.1.5 object-group svcgrp-192.168.1.5-tcp
access-list outside_access_in extended permit tcp any object hst-192.168.1.9 object-group svcgrp-192.168.1.9-tcp
access-list outside_access_in extended permit tcp any object hst-192.168.1.20 object-group svcgrp-192.168.1.20-tcp
access-list outside_access_in extended permit tcp any object hst-192.168.1.30 object-group svcgrp-192.168.1.30-tcp
access-group outside_access_in in interface outside
この例(および新しいNATスタイル全般))から取り除くことができるのは次のとおりです。
- 静的PATは、特に多くの異なるサービス/ポートでの転送に関しては、本来あるべきよりも少し複雑に見えます。
- 静的NAT-ネットワークオブジェクトモードの方がはるかに簡単です。オブジェクトを完全に使用している場合(ホストとサービスグループの両方)-より多くのポートを「許可」するのは、エントリを追加するのと同じくらい簡単です。サービスグループ。
- 単純であるため、可能な限り静的NATを使用してください。
- 命名規則/標準がない場合、構成が制御不能になり、すぐに読み取ることが困難になります。
各「nat」行は、単一のポートまたはすべてのポート(任意)にのみ使用できます。 2つのポートの変換を行うには、2行が必要です。
object obj-192.168.1.20
Host 192.168.1.9
nat (inside,outside) static 6.6.6.6 service tcp 80 80
nat (inside,outside) static 6.6.6.6 service tcp 443 443