Configuración del NAT básica ASA: Servidor Web en el DMZ en la Versión de ASA 8.3 y posterior

Documentos relacionados
Troubleshooting de la configuración de la traducción de dirección de red ASA

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT

Configuración simultánea de NAT estático y dinámico

ASA 8.3 y posterior: Acceso al servidor del correo (S TP) en el ejemplo de la configuración de DMZ

Este documento describe cómo localizar las direcciones MAC de una máquina virtual (VM) y de la interfaz de VMkernel (VMK) en estos niveles de red:

Configuración de servidor de Syslog en los reguladores del Wireless LAN (WLCs)

Configurar las alertas del correo electrónico en el Cisco VPN 3000 Concentrator

Actividad de PT 5.2.8: Configuración de las ACL estándar Diagrama de topología

Contenido. Introducción. prerrequisitos. Requisitos. Componentes Utilizados

Ejemplo de Configuración de BGP con Dos Proveedores de Servicio Diferentes (Multihoming)

Balanceo de Carga NAT de IOS para Dos Conexiones ISP

PIX/ASA 7.x: activación de la comunicación entre interfaces

FRANCISCO BELDA DIAZ Cisco Networking Academy' I Mind Wide Operf

Antecedentes La sucursal remota o la empresa minorista tamaño pequeño puede consistir en un solo o un stack

Opción 55 de la lista del pedido del parámetro del DHCP usada para perfilar el ejemplo de configuración de los puntos finales

Ejemplo transparente de la configuración de escudo de protección del módulo firewall service

Manual de Configuración de Router Cisco 871W

EXAMEN FINAL CONFIGURACIÓN DEL FIREWALL CSICO ASA 5510

SEGURIDAD INFORMÁTICA CONFIGURACIÓN DEL FIREWALL DEL DISPOSITIVO CISCO ASA 5510 (Examen Final) José Omar Moreno Reyes Juan Carlos Moreno Omaña

Aspectos Básicos de Networking

PIX/ASA: Ejemplo transparente de la configuración de escudo de protección

Cisco PIX 500 Series Security Appliances

Packet Tracer: uso de traceroute para detectar la red

Introducción Cisco-Pix Firewall. Ing. Civil en Sistemas Ricardo E. Gómez M.

Protocolos de Internet

Resolución de problemas de OSPF (Abrir la ruta más corta en primer lugar)

PIX/ASA 7.x: Ejemplo de configuración para habilitar servicios FTP/TFTP

Administrador 6.x de las Comunicaciones unificadas: Ejemplo de la configuración de ruteo de la hora

Listas de Control de Acceso. E. Interiano

ASA/PIX: Permiten tráfico de la red acceder Microsoft servidor de medios ()/vídeo de flujo continuo MM del ejemplo de configuración de Internet

Configuración de PIX Firewall con acceso a un servidor de correo en una red interna

CCNA 4 v3.1 Módulo 1: Escalabilidad de direcciones IP. 2004, Cisco Systems, Inc. All rights reserved.

Configuración de ACL IP utilizadas frecuentemente

Proxy de la autenticación Web en un ejemplo de la configuración de controlador del Wireless LAN

Ejemplo de configuración de ACL en controlador para redes LAN inalámbricas

Laboratorio Redes 1. ITESM Configuración de Router

Sistemas Operativos. Sesión 3: Enrutamiento estático

Ubuntu Server HOW TO : DHCP

Expositora: Cindy Prada Hurtado

GUÍA PARA LA CONFIGURACIÓN BÁSICA DEL ROUTER MONOPUERTO ADSL2+ OBSERVA TELECOM AR1061

Examen Cisco Online CCNA4 V4.0 - Capitulo 5. By Alen.-

Práctica de laboratorio Configuración de políticas de acceso y de valores de DMZ

Práctica de laboratorio Conexión y configuración de hosts

MANUAL DE INSTALACION Y CONFIGURACION ANTAMEDIA HOTSPOT

El NAC de Cisco controla el acceso a la red cuando el usuario primero conecta e intenta abrir una sesión a la máquina de Windows.

Tema 5. Topologías de red Seguras. Módulo I : Topologías de Red Seguras

IPSec/GRE con el NAT en el ejemplo de configuración del router IOS

Configuración de traducción de dirección de red: Introducción

En este documento, se asume que Cisco Security Appliance está configurado y funciona correctamente.

QUE SON Y PARA QUE SIRVEN LAS DIRECCIONES IP, LA MASCARA DE SUBRED, LA PUERTA DE ENLACE Y LAS DNS.

Capitulo 3: Introducción a los Protocolos de Enrutamiento Dinámico

Cómo cambiar la contraseña de NT para el intercambio y las Cuentas de servicio de Unity

Guía de Inicio Rápido

Práctica de laboratorio: Configuración de la traducción de la dirección del puerto (PAT)

Sistemas de Transporte de Datos (9186). Curso Ingeniería Informática

Ventaja VT: Problemas de conexión del teléfono del IP del Troubleshooting

Lista de Control de Acceso (ACL) LOGO

Práctica de laboratorio Propagación de las rutas por defecto en un dominio OSPF

Bloque IV: El nivel de red. Tema 10: Enrutamiento IP básico

Práctica de laboratorio Configuración de NAT y DHCP con CLI de IOS

Capítulo 7: Implementando Servicios de direccionamiento IP

Práctica de laboratorio 7.5.3: Resolución de problemas de la configuración inalámbrica

Entienda cómo la característica automática de la actualización de firma del IPS de Cisco trabaja

Práctica de laboratorio: configuración de NAT dinámica y estática

Tecnológico Nacional de México INSTITUTO TECNOLÓGICO DE SALINA CRUZ

ACL en los reguladores del Wireless LAN: Reglas, limitaciones, y ejemplos

Sistemas Operativos. Sesión 2: Enrutamiento estático

Router Teldat. Facilidad NAPT

Movimiento de almacenamientos de mensajes de intercambio y registros de transacciones a una unidad alterna

configuración de tu equipo. Rellena la siguiente tabla y contesta a las siguientes preguntas:

DHCP NAT. Redes WAN. DHCP y NAT. Esteban De La Fuente Rubio esteban@delaf.cl L A TEX. Universidad Andrés Bello. 27 abr 2011

FUNDAMENTOS DE REDES CONCEPTOS DE LA CAPA DE RED

REDES. Seguridad en Redes. Práctica 3

Problemas del cliente de marcación de entrada de Windows con las máscaras de subred, los gatewayes y los Domain Name

Tema: Enrutamiento estático

Tabla de Contenido. Cisco Configurando ACLs de IP Comúnmente Usadas

Distribución de carga con BGP en entornos simples o multihomed (con varias conexiones). Configuraciones de ejemplo

Práctica de laboratorio 8.5.1: Resolución de problemas de redes empresariales 1

Restablecimiento de los switches de la serie Catalyst Express 500 en la configuración predeterminada de fábrica

Práctica de laboratorio : Cuántas redes?

Cómo utilizar los comandos standby preempt y standby track

CISCO ICDN Cursos MÉTODO DE CAPACITACIÓN. Presencial DURACIÓN. 5 días 45 Horas. 9:00 a 18:00 Hrs. DIRIGIDO A

Práctica de laboratorio Configuración de NAT dinámica con SDM

Manual de Usuario CPE OX330. Manual de Usuario CPE OX330

Shell Script de instalación y configuración para el servicio DHCP en CentOS v5.x. Manual de instrucciones.

División de dos Switches MDS en zonas después de conectar con un link ISL o EISL

Configuración básica de Routers

Práctica de laboratorio 8.3.5: Configuración y verificación de ACL nombradas y extendidas

Práctica de laboratorio 7.4.1: Configuración básica de DHCP y NAT

Práctica de laboratorio 5.5.2: Examen de una ruta

Configuración de muestra para eliminar los números AS privados en BGP

OfficeConnect Remote 812 ADSL Router Aspecto externo (Frontal)

PORTAFOLIO DE EVIDENCIAS. REDES

Configuración del concentrador Cisco VPN 3000 en un router Cisco

Configuración del acceso a Internet en una red

Funciones de Network Assistant

Práctica B: Examinar la configuración de TCP/IP

Soluciones inalámbricas. Guía rápida para configurar un enlace con equipos ENS500 en modo WDS Bridge

Guía del dispositivo de Bomgar B200 TM. Índice. BOMGAR BASE 3 Guía del dispositivo B200

Máscaras Wildcard y ACL. CCNA 2: Módulo 11.

Transcripción:

Configuración del NAT básica ASA: Servidor Web en el DMZ en la Versión de ASA 8.3 y posterior Contenido Introducción prerrequisitos Requisitos Componentes Utilizados Información general Metas Descripción de la lista de control de acceso Descripción general de NAT Configurar Introducción Topología Paso 1 - Configuración NAT para permitir que los host salgan a Internet Paso 2 - Configuración NAT para acceder al servidor Web de Internet Paso 3 - Configuración ACL Paso 4 - Pruebe la configuración con la característica del trazalíneas del paquete Verificación Troubleshooting Conclusión Introducción Este documento proporciona un ejemplo simple y directo de cómo configurar el Network Address Translation (NAT) y el Listas de control de acceso (ACL) en un Firewall ASA para permitir la Conectividad saliente así como entrante. Este documento fue escrito con un Firewall adaptante 5510 del dispositivo de seguridad (ASA) que la versión del código de los funcionamientos ASA 9.1(1), pero éste puede aplicarse fácilmente a cualquier otra plataforma del Firewall ASA. Si usted utiliza una plataforma tal como un ASA 5505, que utiliza los VLA N en vez de una interfaz física, usted necesita cambiar los tipos de interfaz como apropiados. Prerequisites Requisitos No hay requisitos específicos para este documento. Componentes Utilizados

La información en este documento se basa en un Firewall ASA 5510 que funcione con la versión del código ASA 9.1(1). La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando. Información general Metas En este ejemplo de configuración, usted puede considerar qué NAT y configuración ACL será necesaria para permitir el acceso entrante a un servidor Web en el DMZ de un Firewall ASA, y permite la Conectividad saliente de los host internos y DMZ. Esto se puede resumir como dos metas: 1. Permita los host en el interior y la Conectividad saliente DMZ a Internet. 2. Permita que los host en Internet accedan a un servidor Web en el DMZ con una dirección IP de 192.168.1.100. Antes de conseguir a los pasos que se deben completar para lograr estas dos metas, este documento pasa abreviadamente la manera ACL y el trabajo NAT sobre las versiones más recientes del código ASA (versión 8.3 y posterior). Descripción de la lista de control de acceso Las listas de control de acceso (las listas de acceso o los ACL para corto) son el método por el cual el Firewall ASA determina si se permite o se niega el tráfico. Por abandono, se niega el tráfico que pasa de un más bajo al mayor nivel de seguridad. Esto se puede reemplazar por un ACL aplicado a esa interfaz de menor seguridad. También el ASA, por abandono, permite el tráfico de más arriba a las interfaces de menor seguridad. Este comportamiento se puede también reemplazar con un ACL. En las versiones anteriores del código ASA (8.2 y anterior), el ASA comparó una conexión entrante o un paquete contra el ACL en una interfaz sin untranslating el paquete primero. Es decir el ACL tuvo que permitir el paquete como si usted debiera capturar ese paquete en la interfaz. En el código de la versión 8.3 y posterior, los untranslates ASA que paquete antes de que marque la interfaz ACL. Esto significa eso para y posterior el código 8.3, y se permite este documento, tráfico al IP real del host y no el IP traducido del host. Vea la sección de las reglas de acceso que configura del libro 2: Guía de configuración CLI del Firewall de la serie de Cisco ASA, 9.1 para más información sobre los ACL. Descripción general de NAT El NAT en el ASA en la versión 8.3 y posterior está roto en dos tipos conocidos como NAT auto (objeto NAT) y NAT manual (dos veces NAT). El primer de los dos, el objeto NAT, se configura dentro de la definición de un objeto de red. Un ejemplo de esto se proporciona más adelante en este documento. Una ventaja primaria de este método NAT es que el ASA pide automáticamente las reglas para procesar para evitar los conflictos. Ésta es la forma más fácil de NAT, pero con

esa facilidad viene una limitación en el granularity de la configuración. Por ejemplo, usted no puede tomar una decisión de la traducción basada en el destino en el paquete como usted podría con el segundo tipo de NAT, nacional manual. El NAT manual es más robusto en su granularity, pero requiere que las líneas estén configuradas en la orden correcta de modo que pueda alcanzar la conducta correcta. Esto complica este tipo NAT, y como consecuencia no será utilizada en este ejemplo de configuración. Vea la información sobre la sección NAT del libro 2: Guía de configuración CLI del Firewall de la serie de Cisco ASA, 9.1 para más información sobre el NAT. Configurar Introducción La configuración básica de la configuración ASA es tres interfaces conectadas con tres segmentos de red. El segmento de la red ISP está conectado con la interfaz del Ethernet0/0 y etiquetado afuera con un nivel de seguridad de 0. La red interna ha estado conectada con Ethernet0/1 y etiquetada como dentro con un nivel de seguridad de 100. El segmento DMZ, donde reside el servidor Web, está conectado con Ethernet0/2 y etiquetado como DMZ con un nivel de seguridad de 50. La configuración de la interfaz y los IP Addresses por el ejemplo se consideran aquí: interface Ethernet0/0 nameif outside security-level 0 ip address 198.51.100.100 255.255.255.0 interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.0.1 255.255.255.0 interface Ethernet0/2 nameif dmz security-level 50 ip address 192.168.1.1 255.255.255.0 route outside 0.0.0.0 0.0.0.0 198.51.100.1 Aquí usted puede ver que la interfaz interior ASA está fijada con la dirección IP de 192.168.0.1, y es el default gateway para los host internos. La interfaz exterior ASA se configura con una dirección IP obtenida del ISP. Hay una ruta predeterminado en el lugar, que fija el Next-Hop para ser el gateway ISP. Si usted utiliza el DHCP esto se proporciona automáticamente. La interfaz DMZ se configura con la dirección IP de 192.168.1.1, y es el default gateway para los host en el segmento de la red DMZ. Topología Aquí está una mirada visual en cómo se telegrafía y se configura esto:

Paso 1 - Configuración NAT para permitir que los host salgan a Internet Para este objeto NAT del ejemplo, también conocido como AutoNAT, se utiliza. La primera cosa a configurar es las reglas NAT que permiten los host en el interior y segmentos DMZ a conectar con Internet. Porque estos host utilizan los IP Address privados, usted necesita traducirlos algo que es routable en Internet. En este caso, traduzca los direccionamientos de modo que parezcan la dirección IP de la interfaz exterior ASA. Si su IP externa cambia con frecuencia (quizás debido al DHCP) ésta es la manera más directa de configurar esto. Para configurar este NAT, usted necesita crear un objeto de red que represente la subred interior así como uno que represente la subred DMZ. En cada uno de estos objetos, configure una regla nacional dinámica que Port Address Translation (PAT) estos clientes mientras que pasan de sus interfaces respectivas a la interfaz exterior. Esta configuración parece similar a esto: object network inside-subnet subnet 192.168.0.0 255.255.255.0 nat (inside,outside) dynamic interface object network dmz-subnet subnet 192.168.1.0 255.255.255.0 nat (dmz,outside) dynamic interface Si usted mira la configuración corriente en este momento (con la salida del comando show run),

usted verá que la definición del objeto está partida en dos partes de la salida. La primera parte indica solamente cuál está en el objeto (host/subred, dirección IP, y así sucesivamente), mientras que la segunda sección muestra que regla NAT atada a ese objeto. Si usted toma la primera entrada en la salida anterior: Cuando los host que hacen juego la travesía de 192.168.0.0/24 subredes de la interfaz interior a la interfaz exterior, usted quieren traducirlos dinámicamente a la interfaz exterior. Paso 2 - Configuración NAT para acceder al servidor Web de Internet Ahora que los host en las interfaces interiores y DMZ pueden salir a Internet, usted necesita modificar la configuración de modo que los usuarios en Internet puedan acceder a nuestro servidor Web en el puerto TCP 80. En este ejemplo, la configuración es de modo que la gente en Internet pueda conectar con otra dirección IP que el ISP proporcionó, una dirección IP adicional poseemos. Por este ejemplo, utilice 198.51.100.101. Con esta configuración, los usuarios en Internet podrán alcanzar al servidor Web DMZ accediendo 198.51.100.101 en el puerto TCP 80. Utilice el objeto NAT para esta tarea, y el ASA traducirá el puerto TCP 80 en el servidor Web (192.168.1.100) para parecer 198.51.100.101 en el puerto TCP 80 en el exterior. Semejantemente a qué fue hecha previamente, define un objeto y define las Reglas de traducción para ese objeto. También, defina un segundo objeto para representar el IP que usted traducirá este host a. Esta configuración parece similar a esto: -external-ip host 198.51.100.101 host 192.168.1.100 Apenas para resumir lo que significa esa regla NAT en este ejemplo: Cuando un host que corresponde con a la dirección IP 192.168.1.100 en los segmentos DMZ establece una conexión originada del puerto TCP 80 (WWW) y que sale la conexión la interfaz exterior, usted quiere traducir eso para ser el puerto TCP 80 (WWW) en la interfaz exterior y para traducir ese IP Address para ser 198.51.100.101. Ése parece un poco impar originado del puerto TCP 80 (WWW), solamente del tráfico de la Web se destina al puerto 80. Es importante entender que estas reglas NAT son bidireccionales en la naturaleza. Como consecuencia, usted puede mover de un tirón la fraseología alrededor para reformular esta frase. El resultado tiene mucho más sentido: Cuando los host en el exterior establecen una conexión a 198.51.100.101 en el puerto 80 (WWW) del TCP de destino, usted traducirá el IP Address de destino para ser 192.168.1.100 y el puerto destino será el puerto TCP 80 (WWW) y le mandará el DMZ. Esto tiene más sentido cuando está expresada esta manera. Después, usted necesita configurar los ACL. Paso 3 - Configuración ACL Se configura el NAT y el final de esta configuración está cerca. Recuerde, los ACL en el ASA

permiten que usted reemplace la conducta de seguridad predeterminada que es como sigue: Trafique se niega que va de una interfaz de menor seguridad cuando va a una interfaz de mayor seguridad. Trafique se permite que va de una interfaz de mayor seguridad cuando va a una interfaz de menor seguridad. Tan sin la adición de cualquier ACL a la configuración, este tráfico en el ejemplo trabaja: Los host en el interior (nivel de seguridad 100) pueden conectar con los host en el DMZ (nivel de seguridad 50). Los host en el interior (nivel de seguridad 100) pueden conectar con los host en el exterior (nivel de seguridad 0). Los host en el DMZ (nivel de seguridad 50) pueden conectar con los host en el exterior (nivel de seguridad 0). Sin embargo, se niega este tráfico: Los host en el exterior (nivel de seguridad 0) no pueden conectar con los host en el interior (nivel de seguridad 100). Los host en el exterior (nivel de seguridad 0) no pueden conectar con los host en el DMZ (nivel de seguridad 50). Los host en el DMZ (nivel de seguridad 50) no pueden conectar con los host en el interior (nivel de seguridad 100). Porque el tráfico del exterior a la red DMZ es negado por el ASA con su configuración actual, los usuarios en Internet no pueden alcanzar al servidor Web a pesar de la configuración del NAT en el paso 2. Usted necesita permitir explícitamente este tráfico. En y posterior el código 8.3 usted debe utilizar el IP real del host en el ACL y no el IP traducido. Esto significa que la configuración necesita permitir el tráfico destinado a 192.168.1.100 y no traficar destinado a 198.51.100.101 en el puerto 80. Para el motivo de la simplicidad, los objetos definidos en el paso 2 serán utilizados para este ACL también. Una vez que se crea el ACL, usted necesita aplicarlo entrante en la interfaz exterior. Aquí es lo que parecen esos comandos configuration: access-list outside_acl extended permit tcp any object webserver eq www access-group outside_acl in interface outside La línea estados de la lista de acceso: Tráfico del permiso del any(where) al host representado por el web server del objeto (192.168.1.100) en el puerto 80. Es importante la configuración utiliza la cualquier palabra clave aquí. Porque la dirección IP de origen de los clientes no se conoce como él alcanza su sitio web, especifique cualquier el significado cualquier dirección IP. Qué sobre el tráfico del segmento DMZ destinó a los host en el segmento de la red interna? Por ejemplo, un servidor en la red interna a la cual los host en la necesidad DMZ de conectar. Cómo puede el ASA permitir solamente que específico trafique destinado al servidor interior y bloquee todo lo demás destinada al segmento interior del DMZ?

En este ejemplo se asume que hay servidor DNS en la red interna en la dirección IP 192.168.0.53 que los host en la necesidad DMZ de acceder para la resolución de DNS. Usted crea el ACL necesario y lo aplica a la interfaz DMZ así que el ASA puede reemplazar esa conducta de seguridad predeterminada, mencionada anterior, para el tráfico que ingresa esa interfaz. Aquí es lo que parecen esos comandos configuration: object network dns-server host 192.168.0.53 access-list dmz_acl extended permit udp any object dns-server eq domain access-list dmz_acl extended deny ip any object inside-subnet access-list dmz_acl extended permit ip any any access-group dmz_acl in interface dmz El ACL es más complejo que simplemente permitiendo ese tráfico al servidor DNS en el puerto 53 UDP. Si todo lo que lo hicimos es que primero línea del permiso, después todo el tráfico sería bloqueado del DMZ a los host en Internet. Los ACL tienen un deny ip any any implícito en el final del ACL. Como consecuencia, sus host DMZ no podrían salir a Internet. Aunque el tráfico del DMZ al exterior se permite por abandono, con la aplicación de un ACL a la interfaz DMZ, ésos omiten las conductas de seguridad para la interfaz DMZ están no más en efecto y usted debe permitir explícitamente el tráfico en la interfaz ACL. Paso 4 - Pruebe la configuración con la característica del trazalíneas del paquete Ahora que se completa la configuración, usted necesita probarla para aseegurarse la trabaja. El método más fácil es utilizar los host reales (si ésta es su red). Sin embargo, en interés de probar esto del CLI y más futuro explorando algunas de las herramientas ASA, utilice el trazalíneas del paquete para probar y potencialmente hacer el debug de cualquier problema encontrado. El trazalíneas del paquete trabaja simulando un paquete basado en una serie de parámetros e inyectando ese paquete al trayecto de datos de la interfaz, similar a la manera que un paquete de la vida real si fue cogido del alambre. Este paquete se sigue con la miríada de los controles y de los procesos se hacen que mientras que pasan con el Firewall, y trazalíneas del paquete observa el resultado. Simule el host interno que sale a un host en Internet. El comando abajo da instrucciones el Firewall a: Simule un paquete TCP que viene en la interfaz interior del IP address 192.168.0.125 en el puerto de origen 12345 destinado a un IP address de 203.0.113.1 en el puerto 80. ciscoasa# packet-tracer input inside tcp 192.168.0.125 12345 203.0.113.1 80 Phase: 1 Type: ACCESS-LIST Implicit Rule MAC Access list Phase: 2 Type: ROUTE-LOOKUP input

in 0.0.0.0 0.0.0.0 outside Phase: 3 object network inside-subnet nat (inside,outside) dynamic interface Dynamic translate 192.168.0.125/12345 to 198.51.100.100/12345 Phase: 4 per-session Phase: 5 Phase: 6 per-session Phase: 7 Phase: 8 Type: FLOW-CREATION New flow created with id 1, packet dispatched to next module Result: input-interface: inside input-status: up input-line-status: up output-interface: outside output-status: up output-line-status: up Action: allow El resultado final es que el tráfico está permitido, los whichmeans que pasó todos los incorporares NAT y ACL la configuración y fue enviado la interfaz de egreso, afuera. Observe que el paquete fue traducido en la fase 3 y los detalles de esa fase muestran lo que se golpea la regla. El host 192.168.0.125 se traduce dinámicamente a 198.51.100.100 según la configuración. Ahora, ejecútelo para una conexión de Internet al servidor Web. Recuerde, los host en Internet

accederá al servidor Web conectando con 198.51.100.101 en la interfaz exterior. Una vez más este comando siguiente traduce a: Simule un paquete TCP que viene en la interfaz exterior del IP address 192.0.2.123 en el puerto de origen 12345 destinado a un IP address de 198.51.100.101 en el puerto 80. ciscoasa# packet-tracer input outside tcp 192.0.2.123 12345 198.51.100.101 80 Phase: 1 Type: UN-NAT static NAT divert to egress interface dmz Untranslate 198.51.100.101/80 to 192.168.1.100/80 Phase: 2 Type: ACCESS-LIST log access-group outside_acl in interface outside access-list outside_acl extended permit tcp any object webserver eq www Phase: 3 per-session Phase: 4 Phase: 5 rpf-check Phase: 6 per-session Phase: 7

Phase: 8 Type: FLOW-CREATION New flow created with id 3, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: dmz output-status: up output-line-status: up Action: allow Una vez más el resultado es que el paquete está permitido. Los ACL marcan hacia fuera, las miradas de la configuración muy bien, y los usuarios en Internet (afuera) deben poder acceder a ese servidor Web con IP externa. Verificación Los procedimientos de verificación se incluyen en el paso 4 - Configuración de prueba con la característica del trazalíneas del paquete. Troubleshooting Actualmente, no hay información específica de troubleshooting disponible para esta configuración. Conclusión La configuración de un ASA para hacer el NAT básico no es ésa el desanimar de una tarea. El ejemplo en este documento se puede adaptar a su escenario específico si usted cambia los IP Addresses y los puertos usados en los ejemplos de configuración. La configuración final ASA para esto, cuando está combinado, parece similar a esto para un ASA 5510: ciscoasa# packet-tracer input outside tcp 192.0.2.123 12345 198.51.100.101 80 Phase: 1 Type: UN-NAT static NAT divert to egress interface dmz Untranslate 198.51.100.101/80 to 192.168.1.100/80 Phase: 2 Type: ACCESS-LIST log

access-group outside_acl in interface outside access-list outside_acl extended permit tcp any object webserver eq www Phase: 3 per-session Phase: 4 Phase: 5 rpf-check Phase: 6 per-session Phase: 7 Phase: 8 Type: FLOW-CREATION New flow created with id 3, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: dmz output-status: up output-line-status: up Action: allow En un ASA 5505, por ejemplo, con las interfaces conectadas como se muestra previamente (exterior conectado con el Ethernet0/0, dentro de conectado con Ethernet0/1 y el DMZ conectado con Ethernet0/2):

ciscoasa# packet-tracer input outside tcp 192.0.2.123 12345 198.51.100.101 80 Phase: 1 Type: UN-NAT static NAT divert to egress interface dmz Untranslate 198.51.100.101/80 to 192.168.1.100/80 Phase: 2 Type: ACCESS-LIST log access-group outside_acl in interface outside access-list outside_acl extended permit tcp any object webserver eq www Phase: 3 per-session Phase: 4 Phase: 5 rpf-check Phase: 6 per-session Phase: 7 Phase: 8 Type: FLOW-CREATION

New flow created with id 3, packet dispatched to next module Result: input-interface: outside input-status: up input-line-status: up output-interface: dmz output-status: up output-line-status: up Action: allow

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback