Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

ASA Thực hiện Static PAT và Identity NAT

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • ASA Thực hiện Static PAT và Identity NAT

    Thực hiện Static PAT và Identity NAT

    I. Mô tả:
    Cho phép người dùng bên ngoài truy cập dịch vụ Web và Remote Desktop với PAT tĩnh (Static PAT) trong vùng DMZ.
    Cho phép người dùng trong vùng INSIDE truy cập dịch vụ Web, FTP trong vùng DMZ mà không cần thực hiện NAT hoặc PAT
    II. Cấu hình
    Thực hiện Nat tĩnh
    ASA(config)# static (DMZ,outside) tcp 195.1.1.10 80 192.168.2.2 80
    ASA(config)# static (DMZ,outside) tcp 195.1.1.10 3389 192.168.2.2 3389

    Định nghĩa chính sách cho phép truy cập dịch vụ trong DMZ
    ASA(config)# access-list POLICY permit tcp any host 195.1.1.10 eq 80
    ASA(config)# access-list POLICY permit tcp any host 195.1.1.10 eq 3389
    ASA(config)# access-group POLICY in interface outside

    Định nghĩa luồng dữ liệu không thực hiện NAT
    ASA(config)# access-list ACCESS_DMZ permit ip 192.168.1.0 255.255.255.0 host 192.168.2.2
    ASA(config)# nat (inside) 0 access-list ACCESS_DMZ

    III. Cấu hình đầy đủ
    ASA
    ASA Version 8.0(2)
    !
    hostname ASA
    enable password 8Ry2YjIyt7RRXU24 encrypted
    names
    !
    interface Ethernet0/0
    nameif inside
    security-level 100
    ip address 192.168.1.1 255.255.255.0
    !
    interface Ethernet0/1
    nameif DMZ
    security-level 50
    ip address 192.168.2.1 255.255.255.0
    !
    interface Ethernet0/2
    nameif outside
    security-level 0
    ip address 195.1.1.1 255.255.255.0
    !
    interface Ethernet0/3
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Management0/0
    shutdown
    no nameif
    no security-level
    no ip address
    management-only
    !
    passwd 2KFQnbNIdI.2KYOU encrypted
    ftp mode passive

    access-list POLICY extended permit tcp any host 195.1.1.10 eq 3389
    access-list POLICY extended permit tcp any host 195.1.1.10 eq www
    access-list ACCESS_DMZ extended permit ip 192.168.1.0 255.255.255.0 host 192.168.2.2
    static (DMZ,outside) tcp 195.1.1.10 3389 192.168.2.2 3389 netmask 255.255.255.255
    static (DMZ,outside) tcp 195.1.1.10 www 192.168.2.2 www netmask 255.255.255.255
    access-group POLICY in interface outside
    route outside 0.0.0.0 0.0.0.0 195.1.1.2 1

    !
    class-map inspection_default
    match default-inspection-traffic
    !
    !
    policy-map type inspect dns preset_dns_map
    parameters
    message-length maximum 512
    policy-map global_policy
    class inspection_default
    inspect dns preset_dns_map
    inspect ftp
    inspect h323 h225
    inspect h323 ras
    inspect rsh
    inspect rtsp
    inspect esmtp
    inspect sqlnet
    inspect skinny
    inspect sunrpc
    inspect xdmcp
    inspect sip
    inspect netbios
    inspect tftp
    !
    service-policy global_policy global
    prompt hostname context
    Cryptochecksum:78cf59a0893129f9c01ea495adb5cb53
    : end

    IV. Kiểm tra
    ASA(config)# sh xlate
    2 in use, 2 most used
    PAT Global 195.1.1.10(3389) Local 192.168.2.2(3389)
    PAT Global 195.1.1.10(80) Local 192.168.2.2(80)

    Thực hiện truy cập dịch vụ Web trong DMZ từ outside


    Thực hiện truy cập dịch vụ Remote Desktop trong DMZ từ outside




    ASA(config)# sh conn
    2 in use, 2 most used
    TCP out 150.1.1.1:1157 in 192.168.2.2:80 idle 0:00:04 bytes 1055 flags UIOB
    TCP out 150.1.1.1:1156 in 192.168.2.2:3389 idle 0:00:01 bytes 29396 flags UIOB

    Truy cập dịch vụ Web trong DMZ từ inside







    Truy cập dịch vụ FTP trong DMZ từ inside



    ASA(config)# sh conn
    3 in use, 4 most used
    TCP out 150.1.1.1:1156 in 192.168.2.2:3389 idle 0:02:40 bytes 29922 flags UIOB
    TCP out 192.168.2.2:80 in 192.168.1.2:1181 idle 0:00:04 bytes 9531 flags UIO
    TCP out 192.168.2.2:21 in 192.168.1.2:1178 idle 0:01:38 bytes 276 flags UIO
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

  • #2
    Làm ơn cho em hỏi
    Địa chỉ 195.1.1.10 lấy ở đâu ra vậy ? Nó là địa chỉ cổng nào thế mà sao lại static ra nó được ạ?
    Em giả lập ASA bằng VMW, em tạm hiểu địa chỉ đó là 1 địa chỉ bất kỳ nhưng khi em static (DMZ,oUTSIDE) tcp 195.1.1.10 80 172.16.1.1 thì nó báo là ERROR: % Invalid Hostname

    Comment


    • #3
      Chào bạn,

      IP 195.1.1.10 thuộc lớp mạng 195.1.1.0/24 trên e0/2.

      Nó cũng tương tự như bạn đăng ký đường truyền Internet thì ISP cho bạn dãy IP public. Dãy IP public được cấp này ISP đã route, bạn chỉ cần đặt 1 IP cho 1 cổng nối với Internet, các IP khác có thể nat mà không cần đặt nữa.

      Cám ơn bạn
      Last edited by phamminhtuan; 12-05-2011, 11:21 AM.
      Phạm Minh Tuấn

      Email : phamminhtuan@vnpro.org
      Yahoo : phamminhtuan_vnpro
      -----------------------------------------------------------------------------------------------
      Trung Tâm Tin Học VnPro
      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
      Tel : (08) 35124257 (5 lines)
      Fax: (08) 35124314

      Home page: http://www.vnpro.vn
      Support Forum: http://www.vnpro.org
      - Chuyên đào tạo quản trị mạng và hạ tầng Internet
      - Phát hành sách chuyên môn
      - Tư vấn và tuyển dụng nhân sự IT
      - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

      Network channel: http://www.dancisco.com
      Blog: http://www.vnpro.org/blog

      Comment


      • #4
        Ok, em đã làm được. Em xin cám ơn.
        vậy giờ em muốn cho vùn inside và dmz có thể ra ngoài internet nhưng dùng PAT thì cấu hình sao ạ?
        Mong anh chỉ giúp.

        Comment


        • #5
          Originally posted by kaka_kma View Post
          Ok, em đã làm được. Em xin cám ơn.
          vậy giờ em muốn cho vùn inside và dmz có thể ra ngoài internet nhưng dùng PAT thì cấu hình sao ạ?
          Mong anh chỉ giúp.
          Chào bạn,

          Làm y chang bài 1 cổng này,



          chú ý 2 câu lệnh
          ASA(config)# nat (inside) 1 192.168.1.0 255.255.255.0
          ASA(config)# nat (DMZ) 1 192.168.2.0 255.255.255.0
          Phạm Minh Tuấn

          Email : phamminhtuan@vnpro.org
          Yahoo : phamminhtuan_vnpro
          -----------------------------------------------------------------------------------------------
          Trung Tâm Tin Học VnPro
          149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
          Tel : (08) 35124257 (5 lines)
          Fax: (08) 35124314

          Home page: http://www.vnpro.vn
          Support Forum: http://www.vnpro.org
          - Chuyên đào tạo quản trị mạng và hạ tầng Internet
          - Phát hành sách chuyên môn
          - Tư vấn và tuyển dụng nhân sự IT
          - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

          Network channel: http://www.dancisco.com
          Blog: http://www.vnpro.org/blog

          Comment


          • #6
            Nhưng anh ơi. Em đọc bài đó thì thực chất việc PAT là làm trên con Router GATEWAY rùi. Ý em muốn hỏi là việc thực hiện PAT ngay trên chính con ASA ấy.
            Mong anh chỉ giúp.
            Em cám ơn.

            Comment


            • #7
              Originally posted by kaka_kma View Post
              Nhưng anh ơi. Em đọc bài đó thì thực chất việc PAT là làm trên con Router GATEWAY rùi. Ý em muốn hỏi là việc thực hiện PAT ngay trên chính con ASA ấy.
              Mong anh chỉ giúp.
              Em cám ơn.
              Chào bạn,

              Xem kỹ lại nha bạn, cấu hình link mình đưa có PAT trên ASA. Sau đó PAT thêm lần nữa trên gateway

              2. Cấu hình trên ASA
              ciscoasa(config)# hostname ASA

              Định nghĩa thông tin cổng inside
              ASA(config)# interface e0/0
              ASA(config-if)# ip address 192.168.1.1 255.255.255.0
              ASA(config-if)# nameif inside
              INFO: Security level for "inside" set to 100 by default.
              ASA(config-if)# no shut

              Định nghĩa thông tin cổng outsde
              ASA(config)# interface e0/1
              ASA(config-if)# ip address 192.168.2.1 255.255.255.0
              ASA(config-if)# nameif outside
              INFO: Security level for "outside" set to 0 by default.
              ASA(config-if)# no shut

              Trong truờng hợp này security-level được xác định sẵn, để thay đổi lại có thể dùng câu lệnh
              security-level

              Định nghĩa tuyến mặc định
              ASA(config)# route outside 0 0 192.168.2.2

              Xác định mạng được NAT hoặc PAT
              ASA(config)# nat (inside) 1 192.168.1.0 255.255.255.0

              Xác định NAT hoặc PAT trên cổng outside
              ASA(config)# global (outside) 1 interface
              INFO: outside interface address added to PAT pool
              Phạm Minh Tuấn

              Email : phamminhtuan@vnpro.org
              Yahoo : phamminhtuan_vnpro
              -----------------------------------------------------------------------------------------------
              Trung Tâm Tin Học VnPro
              149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
              Tel : (08) 35124257 (5 lines)
              Fax: (08) 35124314

              Home page: http://www.vnpro.vn
              Support Forum: http://www.vnpro.org
              - Chuyên đào tạo quản trị mạng và hạ tầng Internet
              - Phát hành sách chuyên môn
              - Tư vấn và tuyển dụng nhân sự IT
              - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

              Network channel: http://www.dancisco.com
              Blog: http://www.vnpro.org/blog

              Comment


              • #8
                @phamminhtuan : default ASA là traffic ở inside có thể đi ra ngoài vùng có security level thấp hơn đúng không ? khi mình giả lập ASA thì không ping dc ra ngoài vùng outside. Mặc dù mình đã có gán 1 access-list outside-in permit echo-reply rồi ! Có cần sử dụng thêm lệnh gì nữa không bạn ?
                Thanks bạn!
                Last edited by tuancuongtk6; 31-05-2011, 10:42 AM.

                Comment


                • #9
                  Originally posted by tuancuongtk6 View Post
                  @phamminhtuan : default ASA là traffic ở inside có thể đi ra ngoài vùng có security level thấp hơn đúng không ? khi mình giả lập ASA thì không ping dc ra ngoài vùng outside. Mặc dù mình đã có gán 1 access-list outside-in permit echo-reply rồi ! Có cần sử dụng thêm lệnh gì nữa không bạn ?
                  Thanks bạn!
                  Chào bạn,

                  Có 2 thứ cần làm.
                  1. ACL
                  2. Nếu bạn để mặc định thì vẫn không ping được vì ASA bắt phải NAT.
                  Trừ khi bạn có câu lệnh no nat-control thì khỏi cần làm thêm bước 2.
                  Phạm Minh Tuấn

                  Email : phamminhtuan@vnpro.org
                  Yahoo : phamminhtuan_vnpro
                  -----------------------------------------------------------------------------------------------
                  Trung Tâm Tin Học VnPro
                  149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                  Tel : (08) 35124257 (5 lines)
                  Fax: (08) 35124314

                  Home page: http://www.vnpro.vn
                  Support Forum: http://www.vnpro.org
                  - Chuyên đào tạo quản trị mạng và hạ tầng Internet
                  - Phát hành sách chuyên môn
                  - Tư vấn và tuyển dụng nhân sự IT
                  - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

                  Network channel: http://www.dancisco.com
                  Blog: http://www.vnpro.org/blog

                  Comment


                  • #10
                    Mình đã thử và ping đã ok rồi !
                    Thanks bạn nhiều :)

                    Comment


                    • #11
                      @Phamminhtuan : Nhân đây cho mình hỏi 1 chút về công nghệ DNS doctoring trong ASA ? Mình có đọc tài liệu nhưng mà k rõ lắm
                      Bạn có rành không giải thích giúp mình với
                      Thanks

                      Comment


                      • #12
                        Chào bạn,


                        Client truy cập server bằng tên miền thì cần phân giải Tên-thành-IP.

                        DNS server sẽ giải quyết nhiệm vụ này bằng cách cung cấp A-record (vd: của server web) cho client để client sẽ connect tới Web server bằng IP.
                        Hầu hết mọi trường hợp đều truy cập êm đẹp nếu Web server nằm phía bên ngoài công ty của client.



                        Nhưng vấn đề xảy ra khi có các điều kiện sau:

                        1. Client trong công ty A cần truy xuất web server
                        2. Web server này nằm ngay trong mạng công ty A
                        3. DNS trong máy client chỉnh là DNS public (vd: preffer DNS là 8.8.8.8)



                        Lúc này sẽ gặp vấn đề do interface đi từ level thấp không cho phép đến level cao
                        Vd: đối với trường hợp ASA sử dụng 3 interface thì cuối cùng kết quả traffic sẽ đi từ DMZ -> inside => bị drop





                        Để giải quyết vấn đề đó, thì người ta dùng DNS doctoring


                        Bên dưới là link mô tả giải thích từng bước

                        http://www.cisco.com/en/US/products/...807968d1.shtml (ASA chỉ sử dụng 2 interface, web server nằm trên interface inside)
                        http://www.cisco.com/en/US/products/...807968c8.shtml (ASA chỉ sử dụng 3 interface, web server nằm trên interface DMZ)
                        Phạm Minh Tuấn

                        Email : phamminhtuan@vnpro.org
                        Yahoo : phamminhtuan_vnpro
                        -----------------------------------------------------------------------------------------------
                        Trung Tâm Tin Học VnPro
                        149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                        Tel : (08) 35124257 (5 lines)
                        Fax: (08) 35124314

                        Home page: http://www.vnpro.vn
                        Support Forum: http://www.vnpro.org
                        - Chuyên đào tạo quản trị mạng và hạ tầng Internet
                        - Phát hành sách chuyên môn
                        - Tư vấn và tuyển dụng nhân sự IT
                        - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

                        Network channel: http://www.dancisco.com
                        Blog: http://www.vnpro.org/blog

                        Comment


                        • #13
                          hi !
                          cảm ơn bạn
                          Bài viết rất ok

                          Comment


                          • #14
                            Vậy trên con router "ISP" mình chỉ làm route thôi ak mọi người ? cái địa chỉ IP 195.1.1.1 là public phải ko mọi người ? em là dân mới học mạng nên nhìu cái gà lắm hỏi mọi người cho biết luôn

                            Comment


                            • #15
                              lệnh cấu hình trên con router ISP thì làm sao vậy mọi người ? mọi người giúp mình với :(( mình đang gần tới thời gian nộp đồ án mà còn vướng mấy cái này

                              Comment

                              Working...
                              X