- Instructions NAT - PAT Sécurité - PIX/ASA 7.x - Instructions NAT - PAT ccnp_cch

Sommaire ● Introduction ● La commande nat-control - Prérequis - Composants utilisés ● La commande nat-control - Instructions nat multiples avec nat 0 ● Pools globaux multiples - Schéma du réseau ● Instructions NAT et PAT globales combinées - Schéma du réseau ● Instructions nat multiples avec liste d'accès nat 0 ● Utilisation de politique NAT - Schéma du réseau ● NAT statique ccnp_cch

Introduction Ce document fournit des exemples de configurations de base de NAT (Network Address Translation) et de PAT (Port Address Translation) sur les appliances Cisco PIX série 500. Prérequis Les lecteurs de ce document doivent avoir aucune connaissance de base sur les appli- ances Cisco PIX 500. Composants utilisés Les informations contenues dans ce document sont basées sur les versions matériel- les et logicielles suivantes: ● Appliances Cisco PIX série 500 version 7.0 et suivantes Note : La politique NAT a été introduite dans la version 6.2. La commande nat-control La commande nat-control sur le PIX spécifie que tout le trafic doit avoir une traduc- tion spécifique (instruction nat avec global ou une instruction static) pour que le tra- fic passe à travers le pare-feu. La commande nat-control assure que le comportement de la traduction est le même que celui des pare-feu PIX dont les versions sont anté- rieures à 7.0. La configuration par défaut des PIX 7.0 est l'utilisation de la commande no nat-control. Avec le pare-feu PIX 7.0 vous pouvez changer ce comportement quand vous entrez la commande nat control. Avec nat-control dévalidé, le PIX achemine les paquets d'une interface avec sécurité élevée vers une interface avec sécurité plus basse sans une entrée de traduction spé- cifique dans la configuration. Pour passer du trafic d'une interface de basse sécurité vers une de haute sécurité, utilisez une liste d'accès pour autoriser ce trafic. Le PIX ensuite acheminera le trafic. Ce document est focalisé sur le comportement du pare- feu PIX avec nat-control validé. ccnp_cch

ccnp_cch Instructions nat multiples avec nat 0 Schéma du réseau Réseau 200.200.200.x Host 10.0.0.2 Host A 200.200.200.2 Réseau 10.x.x.x Inside 10.0.0.1 PIX Outside 199.199.199.2 Routeur Internet 199.199.199.1 Internet Dans cet exemple, le FAI fournit au gestionnaire du réseau un intervalle d'adresses de 199.199.199.1 à 199.199.199.63. Le gestionnaire réseau décide d'affecter l'adresse 199.199.199.1 à l'interface interne sur le routeur Internet et l'adresse 199.199.199.2 à l'interface externe (outside) du PIX. L'administrateur réseau avait déjà une adresse de classe C affectée au réseau 200.200. 200.0/24 et à quelques stations qui utilisent ces adresses pour accéder à Internet. Ces stations n'ont pas besoin de traduction d'adresse car elles ont déjà des adresses rou- tables sur Internet. Cependant les nouvelles stations ont des adresses affectées dans le réseau 10.0.0.0/8 et ont besoin de traduction d'adresse (10.x.x.x est une adresse privée définie par le RFC 1918 et non routable sur Internet). Pour répondre à cette architecture d'adresses de réseau, l'administrateur réseau doit utiliser des instructions nat et un pool global dans la configuration du PIX comme le montre la sortie suivante: global (outside) 1 199.199.199.3−199.199.199.62 netmask 255.255.255.192 nat (inside) 0 200.200.200.0 255.255.255.0 0 0 nat (inside) 1 10.0.0.0 255.0.0.0 0 0 ccnp_cch

Cette configuration ne traduit aucune adresse source de tout trafic sortant issu du réseau 200.200.200.0/24. Elle traduit les adresses source du réseau 10.0.0.0/8 en une adresse prise dans l'intervalle 199.199.199.3 à 62. Ces étapes fournissent une explication sur la manière d'appliquer cette configuration avec ASDM (Adaptive Security Device Manager). Note: Quand vous ouvrez ASDM, celui-ci importe la configuration courante du PIX et travaille à partir de cette configuration quand vous faites des modifications et que vous les appliquez. Si une modification est faite sur le PIX pendant qu'une session ASDM est ouverte, l'ASDM ne travaille plus sur la configuration courante réelle du PIX. Fermez toutes les sessions ASDM en cours si vous voulez faire des modifications avec la CLI puis ré-ouvrez ASDM quand vous voulez de nouveau travailler avec l'inter- face graphique. 1. Lancez ASDM, sélectionnez Configuration dans la barre des boutons et choisissez NAT dans les options. 2. Cliquez sur Add pour créer une nouvelle règle. ccnp_cch

3. Une nouvelle fenêtre apparaît pour permettre à l'utilisateur de changer les options NAT pour cette entrée. Dans cet exemple, exécutez NAT sur les paquets qui pro- viennent de l'interface interne et qui sont issus du réseau 10.0.0.0/24. Le PIX traduit ces paquets à partir d'un pool IP sur l'interne externe. Après avoir en- tré les informations qui décrivent le trafic auquel NAT est appliqué, définissez un pool d'adresses IP pour le trafic traduit. Cliquez sur Manage Pools pour ajouter un nouveau pool. ccnp_cch

4. Choisissez outside et cliquez Add ccnp_cch

5. Spécifiez l'intervalle d'adresses IP et donnez un numéro unique au pool d'adresses. ccnp_cch

6. Après avoir entré les valeurs appropriées et cliqué sur OK, vous pouvez voir le le nouveau pool défini pour l'interface externe. ccnp_cch

7. Après avoir défini le pool, cliquez sur OK pour revenir à la fenêtre de configuration de règle NAT. Assurez-vous de choisir le pool que vous venez de créer. ccnp_cch

8. Vous avez crée une traduction NAT sur le pare-feu 8. Vous avez crée une traduction NAT sur le pare-feu. Vous devez toutefois créer l'en- trée NAT qui spécifie quel trafic ne doit pas être inclus dans le processus NAT. Cliquez sur Translation Exemption Rules sur le haut de la fenêtre. Ensuite cliquez sur Add pour créer une nouvelle règle. ccnp_cch

9. Choisissez l'interface inside comme source et spécifiez 200. 200 9. Choisissez l'interface inside comme source et spécifiez 200.200.200.0/24 pour le réseau. Garder "When connecting" avec les valeurs par défaut. 10. Les règles NAT sont maintenant définies. Cliquez sur Apply pour valider les modi- fications sur la configuration courante du pare-feu. Cette sortie montre les ajouts actuels qui sont appliqués à la configuration du PIX. Elles sont légèrement différentes de celles appliquées manuellement mais elles sont équivalentes. access−list inside_nat0_outbound extended permit ip 200.200.200.0 255.255.255.0 any global (outside) 1 199.199.199.3−199.199.199.62 netmask 255.255.255.192 nat (inside) 0 access−list inside_nat0_outbound nat (inside) 1 10.0.0.0 255.255.255.0 ccnp_cch

Pools globaux multiples Schéma du réseau Host 10.0.0.2 Réseau 10.x.x.x Inside 10.0.0.1 PIX Outside 199.199.199.2 Routeur Internet 199.199.199.1 Internet Dans cet exemple, le gestionnaire du réseau a deux intervalles d'adresses publiques. Le gestionnaire du réseau doit traduire toute les adresses internes 10.0.0.0/8 en adresses externes publiques. Les intervalles d'adresses IP publiques que le gestionnai- re de réseau doit utiliser sont 199.199.199.1 à 62 et 150.150.150.1 à 254. Le gestion- naire réseau peut réaliser cela de la manière suivante : global (outside) 1 199.199.199.3−199.199.199.62 netmask 255.255.255.192 global (outside) 1 150.150.150.1−150.150.150.254 netmask 255.255.255.0 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 Note : Un système d'adressage générique est utilisé dans l'instruction nat. Cette ins- truction indique au PIX de traduire toute adresse source interne quand elle doit sortir sur Internet. L'adresse dans cette commande pourrait être plus spécifique si cela était nécessaire. ccnp_cch

Instructions NAT et PAT globales combinées Schéma du réseau Host 10.0.0.2 Réseau 10.x.x.x Inside 10.0.0.1 PIX Outside 199.199.199.2 Routeur Internet 199.199.199.1 Internet Dans cet exemple, le FAI fournit l'intervalle d'adresses 199.199.199.1 à 63 au gestion- naire du réseau pour la société. Le gestionnaire du réseau décide d'utiliser l'adresse 199.199.199.1 pour l'interface interne du routeur Internet et 199.199.199.2 pour l'in- terface externe du PIX. Il reste l'intervalle 199.199.199.3 à 63 pour le pool NAT. Cepen- dant le gestionnaire du réseau sait qu'à tout moment il peut y avoir plus de soixante utilisateurs tentant de se connecter à Internet. Par conséquent le gestionnaire réseau décide de prendre l'adresse 199.199.199.62 et de réaliser une traduction PAT ainsi plusieurs utilisateurs pourront utiliser la même adresse en même temps. global (outside) 1 199.199.199.3−199.199.199.61 netmask 255.255.255.192 global (outside) 1 199.199.199.62 netmask 255.255.255.192 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 Ces commandes indiquent au PIX de traduire l'adresse source 199.199.199.3 à 199. 199.199.199.61 pour les 59 premiers utilisateurs internes qui veulent accéder à Inter- net. Lorsque ces adresses sont épuisées, le PIX traduit toutes les autres adresses sour- ce suivantes vers 199.199.199.62 jusqu'à ce qu'une adresse du pool NAT devienne li- bre. Note : Un système d'adressage générique est utilisé dans l'instruction nat. Cette ins- truction indique au PIX de traduire toute adresse source interne quand elle doit sortir sur Internet. L'adresse dans cette commande pourrait être plus spécifique si cela était nécessaire. ccnp_cch

Instructions NAT multiples avec liste d'accès nat 0 Schéma du réseau Host 10.0.0.2 Réseau 10.x.x.x Inside 10.0.0.1 PIX Outside 199.199.199.2 Routeur Internet 199.199.199.1 Réseau privé 192.168.1.x Internet Dans cet exemple, le FAI fournit l'intervalle d'adresses 199.199.199.1 à 63 au gestion- naire du réseau. Le gestionnaire du réseau décide d'utiliser l'adresse 199.199.199.1 pour l'interface interne du routeur Internet et 199.199.199.2 pour l'interface externe du PIX. Cependant dans ce scénario, un autre réseau LAN privé est placé sur le routeur Inter- net. Le gestionnaire du réseau ne veut pas gaspiller les adresses du pool global quand des hosts attachés à ces réseaux dialoguent entre eux. Le gestionnaire réseau doit toujours traduire les adresses source pour tous les utilisateurs internes (10.0.0.0/8) lorsqu'ils veulent accéder à Internet. access−list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 global (outside) 1 199.199.199.3−199.199.199.62 netmask 255.255.255.192 nat (inside) 0 access−list 101 nat (inside) 1 10.0.0.0 255.0.0.0 0 0 Cette configuration ne traduit pas les adresses source 10.0.0.0/8 et avec une adresse destination 192.168.1.0/24. Elle traduit l'adresse source de tout trafic issu du réseau interne 10.0.0.0/8 et destiné à tout autre adresse que 192.168.1.0/24 en une adresse prise dans l'intervalle 199.199.199.3 à 62. ccnp_cch

Utilisation d'une politique NAT Schéma du réseau Host 10.0.0.2 Réseau 10.x.x.x Inside 10.0.0.1 PIX Outside 199.199.199.2 Routeur Internet 199.199.199.1 Internet Quand vous utilisez la commande nat avec une liste d'accès pour tout ID NAT autre que 0 alors vous validez la politique NAT. La politique NAT vous permet d'identifier le trafic local pour la traduction d'adresses quand vous spécifiez les adresses source et destination (ou les ports) dans la liste d'ac- cès. NAT classique utilise uniquement les adresses/ports source alors que la politique NAT utilise les adresses/ports source et destination. Note: toutes les types de NAT supportent la politique NAT sauf pour l'exclusion NAT (nat 0 access-list). L'exclusion NAT utilise une liste d'accès pour identifier les adres- ses locales sans prendre en compte les numéros de ports. Avec la politique NAT, vous pouvez créer de multiples instructions nat ou static qui identifient la même adresse locale tant que les combinaisons source/port et destina- tion/port sont uniques dans chaque instruction. Vous pouvez ensuite faire correspon- dre différentes adresses globales à chaque paire source/port et destination/port. Dans cet exemple, le gestionnaire réseau fournit l'accès pour l'adresse destination 209.165.201.11 avec le port 80 (web) et le port 23 (Telnet) mais doit utiliser deux adresses IP différentes comme adresses source. L'adresse IP 199.199.199.3 est utilisée comme adresse source pour le web. L'adresse IP 199.199.199.4 est utilisée comme adresse source pour Telnet et doit traduire toute les adresses internes qui sont dans l'intervalle 10.0.0.0/8. ccnp_cch

Le gestionnaire du réseau peut réaliser cela avec : access−list WEB permit tcp 10.0.0.0 255.0.0.0 209.165.201.11 255.255.255.255 eq 80 access−list TELNET permit tcp 10.0.0.0 255.0.0.0 209.165.201.11 255.255.255.255 eq 23 nat (inside) 1 access−list WEB nat (inside) 2 access−list TELNET global (outside) 1 199.199.199.3 255.255.255.192 global (outside) 2 199.199.199.4 255.255.255.192 NAT statique Schéma du réseau Host 10.0.0.2 Réseau 10.x.x.x Inside 10.0.0.1 DMZ 192.168.100.1 PIX Outside 172.16.1.1 Serveur Web 192.168.100.10 Routeur Internet 172.16.1.2 Internet ccnp_cch

Une configuration NAT statique crée une correspondance un à un et traduit une adres- se spécifique en une autre adresse. Ce type de configuration crée une entrée perma- nente dans la table NAT tant que la configuration est présente et permet aux hosts in- ternes et externes d'initier une connexion. Ceci est principalement utilisé pour les hosts qui fournissent des services applicatifs tels que mail, web, FTP et autres. Dans cet exemple, les instructions nat static sont configurées pour permettre à des utilisa- teurs internes et externes d'accéder aux serveurs web de la DMZ. Cette sortie montre comment l'instruction static est construite. Notez l'ordre du map- ping et les adresses IP réelles. static (real_interface,mapped_interface) mapped_ip real_ip netmask mask Voici la traduction statique crée pour donner aux utilisateurs internes l'accès au ser- veur de la DMZ. Elle crée une correspondance entre une adresse interne et l'adresse du serveur sur la DMZ. Les utilisateurs internes peuvent accéder au serveur de la DMZ via l'adresse interne. static (DMZ,inside)10.0.0.10 192.168.100.10 netmask 255.255.255.255 Voici la traduction statique crée pour donner aux utilisateurs externes l'accès au ser- veur de la DMZ. Elle crée une correspondance entre une adresse externe et l'adresse du serveur sur la DMZ. Les utilisateurs externes peuvent accéder au serveur de la DMZ via l'adresse externe. static (DMZ,outside) 172.16.1.5 192.168.100.10 netmask 255.255.255.255 Note : Comme l'interface externe a une priorité de sécurité plus basse que celle de la DMZ, une liste d'accès doit être également crée pour permettre aux utilisateurs exter- nes d'accéder au serveur de la DMZ. La liste d'accès doit donner l'accès aux utilisa- teurs des adresses mappées dans la traduction statique. Il est recommandé que cette liste d'accès soit la plus spécifique possible. dans ce cas, tout host est autorisé à accé- der au serveur web sur les ports 80 (www/ http) et 443 (www/https). access−list OUTSIDE extended permit tcp any host 172.16.1.5 eq www access−list OUTSIDE extended permit tcp any host 172.16.1.5 eq https La liste d'accès doit être appliquée à l'interface externe. access−group OUTSIDE in interface outside ccnp_cch