ASA 8.3+ ACL CHANGES

Alles in Allem hat sich bei den ACLs nicht viel geändert, einzig dass nicht mehr direkt IPs/Netze verwendet werden können. Neu muss zwingend ein Objekte verwendet werden, beim Upgrade allerdings automatisch “dummy” Objekte für jedes Netz/IP an: 

1.1.1.1/32 wird zu Obj_1.1.1.1_32

Eine signifikante Änderung gibt es allerdings doch. Interface ACLs werden jetzt nicht mehr auf die globalen IP Adressen (“translated”, “post-NAT”), sondern auf die reale IP Adressen gemacht.

(mehr …)

ASA 8.3+ Static NAT einzelner Ports AKA PAT

Der Beitrag ist etwas zusammen geklaut… aber jeder der mit ASA vor 8.3 gearbeitet hat und irgendwann mit ASA 8.3+ zu tun hatte, wird sich sicher ab der neuen NAT Syntax genervt haben.
Mittlerweile muss ich zugeben, dass ich die neue NAT Syntax recht cool, wenn auch grottenschlecht implementiert finde….. mal ehrlich Objekte Anlegen und referenzieren ist cool…. aber was sollen die vereinzelten Reiter wo man nicht referenzieren kann und  dann im Hintergrund ein Dummy-Objekt mit cryptischem Namen angelegt wird…. c’mon!? 

Ein Simples Beispiel einer PAT Rule:

Der interne Exchange (172.21.1.45) soll seinen https Port gegen aussen auf der IP 81.92.106.10 natten. Das NAT soll bidirectional sein, dh. er geht auch mit der IP raus bei https Verbindungen
Die mittlere NAT Rule

(mehr …)