Download als PDF FileDer Beitrag ist etwas zusammen geklaut… aber jeder der mit ASA vor 8.3 gearbeitet hat und irgendwann mit ASA 8.3+ zu tun hatte, wird sich sicher ab der neuen NAT Syntax genervt haben.
Mittlerweile muss ich zugeben, dass ich die neue NAT Syntax recht cool, wenn auch grottenschlecht implementiert finde….. mal ehrlich Objekte Anlegen und referenzieren ist cool…. aber was sollen die vereinzelten Reiter wo man nicht referenzieren kann und dann im Hintergrund ein Dummy-Objekt mit cryptischem Namen angelegt wird…. c’mon!?
Ein Simples Beispiel einer PAT Rule:
Der interne Exchange (172.21.1.45) soll seinen https Port gegen aussen auf der IP 81.92.106.10 natten. Das NAT soll bidirectional sein, dh. er geht auch mit der IP raus bei https Verbindungen
Die mittlere NAT Rule
So soll es danach aussehen:
| NAT Feature | pre-8.3 Configuration | 8.3 Configuration |
|---|---|---|
| Static NAT | ||
| Dynamic PAT | ||
| Dynamic NAT with Interface Overload |
ACL CHANGES
Although the syntax of the ACLs haven’t changed much (just added capabilities for new objects), the significant change is that all IP addresses listed in ACLs which are applied to an interface will be converted (on upgrade) from using global (ie: translated or post-NAT) IP addresses, to using the real IP address. Let’s look at an example.
In the above Topology, an internal web server (with IP 10.1.1.6) is being protected by an ASA. Clients on the Internet access this web server by its public IP address: 209.165.201.15 Prior to version 8.3, the interface ACL would permit traffic to the public IP 209.165.201.15. But, starting with 8.3 the real IP 10.1.1.6 is used in the configuration. Please see the configuration examples below.
pre-8.3 Configuration
static (inside,outside) 209.165.201.15 10.1.1.6 netmask 255.255.255.255
!
access-list outside_in extended permit tcp any host 209.165.201.15
access-group outside_in in interface outside
8.3 Configuration
object network obj-10.1.1.6
host 10.1.1.6
nat (inside,outside) static 209.165.201.15
!
access-list outside_in extended permit tcp any host 10.1.1.6
access-group outside_in in interface outside
