Firewall

思科網路對象 NAT 獲取 Internet?

  • June 19, 2013

所以我繼承了 Cisco ASA 5505,我對這些東西沒有任何經驗!有兩個面向 WAN 的網路介面,當然還有 LAN 介面。現在在 NAT 規則中,有兩個規則:

Match Criteria: Original Packet                           Action Translated Packet: 
 SourceInt  DesInt        Source  Destination  Service   Source       Destination Service        
3  inside    Outside-ISP1  obj_Any    any        any      Outside-ISP1   original    original
4  inside    Outside-ISP2  obj_Any2   any        any      Outside-ISP2   original    original

如果我刪除了這些 NAT 中的任何一個,則沒有人可以在我刪除了 NAT 規則的所述介面上訪問 LAN 之外的任何內容。這條規則在做什麼?

不想听起來光顧,您應該驗證您對NAT的了解;

LAN 上的客戶端可能具有無法通過 Internet 路由的私有 IP 地址(來自RFC1918)。這兩個 WAN 介面也可能具有從它們連接的兩個 ISP 分配的公共可路由 IP 地址。

當 LAN 上的主機連接到 Internet 上的主機(例如 Web 伺服器)時,它會向 ASA 發出請求,ASA 會將請求傳遞給遠端 Internet 主機,但會在網路中轉換 LAN 主機的 IP 地址。請求,發送到其公共 IP 地址之一。如果 ASA 通過第一個 WAN 介面發送請求,則 ASA 會將請求的源 IP 更改為第一個 WAN 介面分配的 IP;

Action Translated Packet: 
Source:
Outside-ISP1

如果請求是通過第二個 WAN 介面發送的,它使用另一個規則,Outside-ISP2並且請求被修改為使用第二個 WAN 介面的源 IP,而不是 LAN 的內部私有 IP 地址。

如果您放棄這些 NAT 規則中的任何一個,LAN 主機地址不會轉換為公共可路由地址,並且請求會發送到網站並且不會得到答复,因為網站無法與私有 IP 上的主機進行通信地址,它不知道它在哪裡,也不知道如何通過 Internet 到達那裡。

由於兩條規則看似相同,因此僅查看第一個規則:

 SourceInt  DesInt        Source  Destination  Service   Source       Destination Service        
3  inside    Outside-ISP1  obj_Any    any        any      Outside-ISP1   original    original

這條規則是說“進入被呼叫介面inside(可能是 LAN 介面)的任何流量,其目的地是被呼叫介面Outside-ISP1(可能是第一個 WAN 介面,也將去那裡可能是因為 ASA 上的預設路由),它來自與那些obj_Any(可能與任何內部 LAN 主機 IP)匹配的源 IP,希望到達 a Destinationofany並通過 a Serviceof any;將其源 IP 更改為Outside-ISP1(IP WAN1 介面),Destination左邊原樣,Service左邊原樣。

這些基於目標和服務匹配流量的額外選項可用於其他類型的 NAT 規則,例如埠重定向或基於策略的路由。

引用自:https://serverfault.com/questions/517055