配置 NAT
Software Version 7.2(3)
- nat-control 命令解释
PIX 7.0 版本前默认为 nat-control,且不可以更改
PIX 7.0 版本后默认为 no nat-control
在PIX 6.3版本时,只要穿越防火墙都要配置NAT,没有转换项是不能穿越防火墙的,但是到了7.0(包括ASA)这个规则有了变化,不需要任何转换项也能像路由器一样穿越防火墙,当你启用nat-control的时候,这个规则就相当于和6.3时代一样,必须要配置NAT才能穿越防火墙。
- 配置动态 NAT
实验拓扑 :
实验目的:
把内部192.168.1.0/24这个网段转换成为一个外部地址池
202.100.1.100-202.100.1.200
In.R2路由:
实验目的:
把内部192.168.1.0/24这个网段转换成outside接口的地址,或是一个外部全局地址
202.100.1.100
In.R2路由:
IN.R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.10
NAT配置命令:
ASA(config)# nat (inside) 1 192.168.1.0 255.255.255.0 (定义源网段) ASA(config)# global (outside) 1 interface 定义转换为outside接口地址
或是另一个外部全局地址
ASA(config)# global (outside) 1 202.100.1.100
实验目的:
把内部192.168.1.1转换到外部一个地址202.100.1.10
In.R2路由配置:
IN.R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.10
配置命令:
ASA(config)#static (inside,outside) 202.100.1.10 192.168.1.1
命令格式是内外对应的,红色的接口和红色的地址对应,蓝色的接口和蓝色的地址对应。
实际工作中的应用:
Static主要是为内部服务器提供服务,例如:把一个内部服务器转换到一个外部地址,便于外部用户访问,当然这个目的的实现还需要一个外部的访问控制列表来放行适当的流量。
Access-list out permit tcp any host 202.100.1.10 eq telnet或http或ftp (按具体来定)
Access-group out in interface outside //应用ACL
检测命令:
Show run nat
Show run glob
Show xlate
Show connect
Show run access-list
Show run access-group
Show run
5.防止DOS攻击
实验目的:
防止外部用户对内部地址192.168.1.1的DOS攻击
实现的命令:
static (inside,outside) 202.100.1.100 10.1.1.1 tcp 100 1000 udp 1000
tcp 100 1000: 表示正常tcp连接最大的数量为100,半开tcp连接最大的数量为1000。
udp 1000: 表示正常udp连接最大的数量为1000,具体值设置为多少需按工作中而定
