J'ai essayé de configurer le NAT et de donner accès à une adresse IP publique à mon réseau local, mais je n'arrive pas à le faire fonctionner. C'est la première fois que j'utilise un pare-feu Cisco.
Merci de votre aide !
Réponses
Trop de publicités?
Saurabh Barjatiya
Points
4643
Puisque c'est la première fois que vous utilisez un pare-feu, je mentionne une configuration supplémentaire qui vous aidera à apprendre / déboguer la configuration de l'ASA.
interface FastEthernet 0/0
nameif outside
security-level 0
ip address <outside_ip_firewall> <outside netmask>
interface FastEthernet 0/1
nameif inside
security-level 100
ip address <inside_ip_firewall> <inside netmask>
access-list allow_everything permit tcp any any
access-list allow_everything permit udp any any
access-list allow_everything permit icmp any an
access-group allow_everything in interface inside
access-group allow_everything out interface inside
access-group allow_everything in interface outside
access-group allow_everything out interface outside
route inside 10.0.0.0 255.0.0.0 <inside_gateway>
route inside 172.16.0.0 255.240.0.0 <inside_gateway>
route inside 192.168.0.0 255.255.0.0 <inside_gateway>
route outside 0.0.0.0 0.0.0.0 <outside_gateway>
telnet 10.0.0.0 255.0.0.0 inside
telnet 172.16.0.0 255.240.0.0 inside
telnet 192.168.0.0 255.255.0.0 insideVous pouvez ajouter la journalisation pour vous aider dans le débogage en utilisant
logging enable
logging timestamp
logging permit-hostdown
logging host inside <syslog server ip> udp/514
logging trap notifications
logging console 3
logging from-address asa@<your-domain>
logging mail 3
logging recipient-address <your email id> level errors
smtp-server <smtp server 1 ip> <smtp server 2 ip>Le serveur syslog doit écouter sur le port UDP 514 les messages syslog provenant du pare-feu. Ces messages sont utiles pour déboguer les problèmes lors de l'expérimentation du pare-feu avant de le déployer en production.
La configuration du pare-feu n'est absolument pas sécurisée car le telnet est activé et ce, à partir de toutes les IP internes. De plus, tout est autorisé. L'idée est de vous aider à tester la configuration NAT sans vous soucier des ACL.
Maintenant, pour transférer les connexions au port 80 pour l'interface extérieure de l'ASA vers un serveur, utilisez
static (inside, outside) tcp interface 80 <inside server ip> 80 netmask 255.255.255.255 tcp 1000 100 udp 100De même, pour 443, utilisez
static (inside, outside) tcp interface 80 <inside server ip> 443 netmask 255.255.255.255 tcp 1000 100 udp 100Une fois que vous êtes à l'aise avec le NAT, optez pour des zones internes, externes et DMZ et configurez des ACL restrictives pour n'autoriser que le trafic approprié.
Il existe également d'autres types de NAT / PAT que vous pouvez configurer dans l'ASA.
Adam Brand
Points
6047
En utilisant l'interface web (ASDM) :
1. Ajouter une règle NAT statique. Allez dans Configuration -> NAT. Cliquez sur Ajouter puis sur "Ajouter une règle NAT statique". Indiquez votre adresse IP interne sous Adresse réelle et votre adresse IP externe sous Traduction statique. Cochez "Enable PAT" et indiquez 80 (ou 443).
2. Modifiez la politique de sécurité pour qu'elle autorise le trafic. Allez dans Configuration -> Politique de sécurité. Cliquez sur Ajouter et créez une règle qui autorise le trafic entrant de l'interface extérieure (source any) vers l'adresse IP interne (en spécifiant le port).
user6779
Points
557
Il semble que l'on n'ait pas répondu à cette question depuis un certain temps, mais je vais essayer d'expliquer ce que nous avons sur notre 5510.
Tout d'abord, j'ai entendu dire qu'il y avait des problèmes si vous n'aviez qu'une seule adresse IP externe/publique. Vous devez effectuer une configuration supplémentaire et je ne suis pas sûr de ce que c'est. Je suppose que vous en avez au moins deux et que l'une d'entre elles est l'IP externe du pare-feu. Nous en utiliserons une disponible ci-dessous.
Dans ASDM, allez à Configuration -> Firewall -> NAT Rules
Cliquez sur Ajouter -> Ajouter une règle NAT statique
- Original -> Interface : intérieur
- Original -> Source : [adresse IP interne]
- Traduit -> Interface : extérieur
- Traduit -> Utiliser l'adresse IP : [adresse IP publique inutilisée]
- Traduction d'adresse de port -> Activer la traduction d'adresse de port
- Traduction d'adresse de port -> Protocole : TCP
- Traduction d'adresse de port -> Port d'origine : http
- Traduction d'adresse de port -> Port traduit : http
Cliquez sur OK. Vous pouvez ajouter une autre règle pour https/443 une fois que vous êtes sûr que http/80 fonctionne.
La partie suivante est une partie que j'ai confondue lorsque j'ai acheté mon 5510, alors assurez-vous de savoir quels éléments mettre à quel endroit.
Allez dans Règles d'accès (ASDM -> Configuration -> Firewall -> Règles d'accès)
Ajouter -> Ajouter une règle d'accès
- Interface : extérieur (pas à l'intérieur)
- Action : Permis
- Source : tous
- Destination : [la même adresse IP publique que ci-dessus] (pas l'IP interne)
- Service : tcp/http, tcp/https
Cliquez sur OK
Cela devrait être le cas. Je crois que l'idée est d'autoriser l'accès de sécurité à l'IP externe/public, puis la NAT effectue la traduction si la règle de sécurité le permet.
