IT блог Александра Солнышкова

Статьи об информационных технологиях.

Статический NAT

Если в случае dynamic NAT трансляция не создана и в случае PAT, доступ извне невозможен. Если даже в случае dynamic NAT трансляция создана, то inside global адрес может меняться. И обращаться к нашему внутреннему хосту по какому-то внешнему адресу невозможно.
Тем не менее, нередки ситуации, когда внутри корпоративной сети есть сервер, доступ которому извне по статическому внешнему адресу жизненно необходим, например Почтовый сервер (Email). В таком случае, можно выставить его прямиком в Интернет, назначив глобальный адрес. Но часто это не очень удобно, например по соображениям безопасности. И в таких случаях нам на помощь приходит static NAT.
Он создает двустороннюю и постоянную трансляцию. Так что наш хост всегда будет доступен по одному внешнему адресу и эта трансляция никогда не вылетит из таблицы трансляций по таймауту.

Подробнее: Статический NAT

Динамический NAT

Здесь объясняются основы NAT и базовая конфигурация NAT на Cisco IOS роутерах для использования в самых простейших сетевых сценариях.
NAT (Network Address Translation) — технология трансляции сетевых адресов, т.е. замены адресов в заголовке IP-пакета и иногда портов в заголовках TCP/UDP. Другими словами, пакет, проходя через маршрутизатор, может поменять свой адрес источника и/или назначения.

NAT можно классифицировать как:
Static NAT — статический NAT задает однозначное соответствие одного адреса другому. Иными словами, при прохождении через маршрутизатор, адрес(а) меняются на строго заданный адрес, один-к-одному. (к примеру 10.1.1.1 всегда заменяется на 11.1.1.1 и обратно, но никогда на 12.1.1.1). Запись о такой трансляции хранится неограниченно долго, пока есть строчка в конфиге
Dynamic NAT — при прохождении через маршрутизатор, новый адрес выбирается динамически из некоторого куска адресов, называемого пулом (англ. pool). Запись о трансляции хранится некоторое время, чтобы ответные пакеты могли быть доставлены адресату. Если в течение некоторого времени трафик по этой трансляции отсутствует, трансляция удаляется и адрес возвращается в пул. Если требуется создать трансляцию, а свободных адресов в пуле нет, то пакет отбрасывается.

Подробнее: Динамический NAT

ASA dynamic object NAT

Наверняка многие уже столкнулись с большими изменениями в синтаксисе настройки NAT при переходе от линейки ASA ОС 8.2 к 8.3 и 8.4. Трудно сказать, с чем связано такое резкое изменение подхода, но одно можно сказать уверенно: настройка стала менее понятна и прозрачна.
Итак, Cisco ввела два новых понятия: Object NAT и Twice NAT, заменив ими все предыдущие типы (Regular, Policy, Identity NAT). А также попутно отменила понятие nat-control. Теперь у нас тотальный no nat-control что означает «нет правила НАТ — просто маршрутизировать».

Для начала познакомимся с понятием object NAT, узнаем про последовательность обработки правил object NAT, потом познакомимся с TWICE NAT и в конце подведем черту: опишем всю последовательность правил NAT в новом синтаксисе.

Рассмотрим простейшую задачу: выйти через ASA в интернет.
Для этого, как и ранее, надо определить, какие внутренние адреса мы собираемся транслировать в какой внешний пул адресов (NAT) или какой адрес (РАТ).

Подробнее: ASA dynamic object NAT

Пакетные фильтры и их конфигурирование

Пакетные фильтры позволяют управлять прохождением траффика через интерфейсы роутера, разрешая или запрещая передачу пакетов, удовлетворяющих указанным условиям. Пакетные фильтры используются в качестве базового средства обеспечения безопасности сети.

Пакетные фильтры в Cisco реализованы через списки доступа (access-lists).

Подробнее: Пакетные фильтры и их конфигурирование

Команды CISCO

access-list

Режим:

Router(config)#

Синтаксис:

Стандартный:

access-list access-list-number {deny | permit | remark line} source [source-wildcard] [log]

Расширенный:

 access-list access-list-number [dynamic dynamic-name [timeout minutes]] 
{deny | permit | remark line } protocol source
source-wildcard destination destination-wildcard [precedence precedence]
[tos tos] [log | log-input][time-range name]
 no access-list access-list-number

Подробнее: Команды CISCO

Команды ASA и PIX

Interface

Команда interface определяет интерфейс и его расположение (слот) на Cisco ASA (PIX фаерволе) (ID интерфейса). Интерфейсы на PIX фаерволе считаются от 0 до X (самого последнего), а на Cisco ASA c 0/0 до 0/X соответственно. Для входа в конфигурацию интерфейса, необходимо указать его тип, слот и порт.

Например, на PIX фаерволе это будет Ethernet0, а на Cisco ASA - GigabitEthernet0/0 либо Management0/0. После чего мы можем задать необходимые нам параметры.

Надо помнить, что по умолчанию интерфейсы выключены, поэтому не забываем их включать командой no shutdown.

Подробнее: Команды ASA и PIX