ASA 8.3+ Static NAT einzelner Ports AKA PAT

Der Beitrag ist etwas zusammen geklaut… aber jeder der mit ASA vor 8.3 gearbeitet hat und irgendwann mit ASA 8.3+ zu tun hatte, wird sich sicher ab der neuen NAT Syntax genervt haben.
Mittlerweile muss ich zugeben, dass ich die neue NAT Syntax recht cool, wenn auch grottenschlecht implementiert finde….. mal ehrlich Objekte Anlegen und referenzieren ist cool…. aber was sollen die vereinzelten Reiter wo man nicht referenzieren kann und  dann im Hintergrund ein Dummy-Objekt mit cryptischem Namen angelegt wird…. c’mon!? 

Ein Simples Beispiel einer PAT Rule:

Der interne Exchange (172.21.1.45) soll seinen https Port gegen aussen auf der IP 81.92.106.10 natten. Das NAT soll bidirectional sein, dh. er geht auch mit der IP raus bei https Verbindungen
Die mittlere NAT Rule

So soll es danach aussehen:

NAT Featurepre-8.3 Configuration8.3 Configuration
Static NAT  
Dynamic PAT  
Dynamic NAT with Interface Overload  

ACL CHANGES

Although the syntax of the ACLs haven’t changed much (just added capabilities for new objects), the significant change is that all IP addresses listed in ACLs which are applied to an interface will be converted (on upgrade) from using global (ie: translated or post-NAT) IP addresses, to using the real IP address.  Let’s look at an example. 

ASA_8_3_ACL_Diagram.jpg

 

In the above Topology, an internal web server (with IP 10.1.1.6) is being protected by an ASA.  Clients on the Internet access this web server by its public IP address:  209.165.201.15  Prior to version 8.3, the interface ACL would permit traffic to the public IP 209.165.201.15.  But, starting with 8.3 the real IP 10.1.1.6 is used in the configuration.  Please see the configuration examples below.

 

pre-8.3 Configuration

static (inside,outside) 209.165.201.15 10.1.1.6 netmask 255.255.255.255
!
access-list outside_in extended permit tcp any host 209.165.201.15
access-group outside_in in interface outside 

8.3 Configuration

object network obj-10.1.1.6
  host 10.1.1.6
  nat (inside,outside) static 209.165.201.15
!
access-list outside_in extended permit tcp any host 10.1.1.6
access-group outside_in in interface outside

Samuel Heinrich
Senior Network Engineer at Selution AG (Switzerland)
Arbeitet in Raum Basel (Switzerland) als Senior Network Engineer mit über 15 Jahren Erfahrung im Bereich Netzwerk

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.