Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
- Instructions NAT - PAT
Sécurité - PIX/ASA 7.x - Instructions NAT - PAT ccnp_cch
2
Sommaire ● Introduction ● La commande nat-control
- Prérequis Composants utilisés ● La commande nat-control - Instructions nat multiples avec nat ● Pools globaux multiples - Schéma du réseau ● Instructions NAT et PAT globales combinées Schéma du réseau ● Instructions nat multiples avec liste d'accès nat 0 ● Utilisation de politique NAT Schéma du réseau ● NAT statique ccnp_cch
3
Introduction Ce document fournit des exemples de configurations de base de NAT (Network Address Translation) et de PAT (Port Address Translation) sur les appliances Cisco PIX série Prérequis Les lecteurs de ce document doivent avoir aucune connaissance de base sur les appli- ances Cisco PIX Composants utilisés Les informations contenues dans ce document sont basées sur les versions matériel- les et logicielles suivantes: ● Appliances Cisco PIX série 500 version 7.0 et suivantes Note : La politique NAT a été introduite dans la version La commande nat-control La commande nat-control sur le PIX spécifie que tout le trafic doit avoir une traduc- tion spécifique (instruction nat avec global ou une instruction static) pour que le tra- fic passe à travers le pare-feu. La commande nat-control assure que le comportement de la traduction est le même que celui des pare-feu PIX dont les versions sont anté- rieures à 7.0. La configuration par défaut des PIX 7.0 est l'utilisation de la commande no nat-control. Avec le pare-feu PIX 7.0 vous pouvez changer ce comportement quand vous entrez la commande nat control. Avec nat-control dévalidé, le PIX achemine les paquets d'une interface avec sécurité élevée vers une interface avec sécurité plus basse sans une entrée de traduction spé- cifique dans la configuration. Pour passer du trafic d'une interface de basse sécurité vers une de haute sécurité, utilisez une liste d'accès pour autoriser ce trafic. Le PIX ensuite acheminera le trafic. Ce document est focalisé sur le comportement du pare- feu PIX avec nat-control validé. ccnp_cch
4
ccnp_cch Instructions nat multiples avec nat 0 Schéma du réseau
Réseau x Host Host A Réseau 10.x.x.x Inside PIX Outside Routeur Internet Internet Dans cet exemple, le FAI fournit au gestionnaire du réseau un intervalle d'adresses de à Le gestionnaire réseau décide d'affecter l'adresse à l'interface interne sur le routeur Internet et l'adresse à l'interface externe (outside) du PIX. L'administrateur réseau avait déjà une adresse de classe C affectée au réseau 200.0/24 et à quelques stations qui utilisent ces adresses pour accéder à Internet. Ces stations n'ont pas besoin de traduction d'adresse car elles ont déjà des adresses rou- tables sur Internet. Cependant les nouvelles stations ont des adresses affectées dans le réseau /8 et ont besoin de traduction d'adresse (10.x.x.x est une adresse privée définie par le RFC 1918 et non routable sur Internet). Pour répondre à cette architecture d'adresses de réseau, l'administrateur réseau doit utiliser des instructions nat et un pool global dans la configuration du PIX comme le montre la sortie suivante: global (outside) − netmask nat (inside) nat (inside) ccnp_cch
5
Cette configuration ne traduit aucune adresse source de tout trafic sortant issu du réseau /24. Elle traduit les adresses source du réseau /8 en une adresse prise dans l'intervalle à 62. Ces étapes fournissent une explication sur la manière d'appliquer cette configuration avec ASDM (Adaptive Security Device Manager). Note: Quand vous ouvrez ASDM, celui-ci importe la configuration courante du PIX et travaille à partir de cette configuration quand vous faites des modifications et que vous les appliquez. Si une modification est faite sur le PIX pendant qu'une session ASDM est ouverte, l'ASDM ne travaille plus sur la configuration courante réelle du PIX. Fermez toutes les sessions ASDM en cours si vous voulez faire des modifications avec la CLI puis ré-ouvrez ASDM quand vous voulez de nouveau travailler avec l'inter- face graphique Lancez ASDM, sélectionnez Configuration dans la barre des boutons et choisissez NAT dans les options Cliquez sur Add pour créer une nouvelle règle. ccnp_cch
6
3. Une nouvelle fenêtre apparaît pour permettre à l'utilisateur de changer les options NAT pour cette entrée. Dans cet exemple, exécutez NAT sur les paquets qui pro- viennent de l'interface interne et qui sont issus du réseau / Le PIX traduit ces paquets à partir d'un pool IP sur l'interne externe. Après avoir en- tré les informations qui décrivent le trafic auquel NAT est appliqué, définissez un pool d'adresses IP pour le trafic traduit. Cliquez sur Manage Pools pour ajouter un nouveau pool. ccnp_cch
7
4. Choisissez outside et cliquez Add
ccnp_cch
8
5. Spécifiez l'intervalle d'adresses IP et donnez un numéro unique au pool d'adresses.
ccnp_cch
9
6. Après avoir entré les valeurs appropriées et cliqué sur OK, vous pouvez voir le
le nouveau pool défini pour l'interface externe. ccnp_cch
10
7. Après avoir défini le pool, cliquez sur OK pour revenir à la fenêtre de configuration de règle NAT Assurez-vous de choisir le pool que vous venez de créer. ccnp_cch
11
8. Vous avez crée une traduction NAT sur le pare-feu
8. Vous avez crée une traduction NAT sur le pare-feu. Vous devez toutefois créer l'en trée NAT qui spécifie quel trafic ne doit pas être inclus dans le processus NAT Cliquez sur Translation Exemption Rules sur le haut de la fenêtre. Ensuite cliquez sur Add pour créer une nouvelle règle. ccnp_cch
12
9. Choisissez l'interface inside comme source et spécifiez 200. 200
9. Choisissez l'interface inside comme source et spécifiez /24 pour le réseau. Garder "When connecting" avec les valeurs par défaut. 10. Les règles NAT sont maintenant définies. Cliquez sur Apply pour valider les modi fications sur la configuration courante du pare-feu. Cette sortie montre les ajouts actuels qui sont appliqués à la configuration du PIX Elles sont légèrement différentes de celles appliquées manuellement mais elles sont équivalentes. access−list inside_nat0_outbound extended permit ip any global (outside) − netmask nat (inside) 0 access−list inside_nat0_outbound nat (inside) ccnp_cch
13
Pools globaux multiples
Schéma du réseau Host Réseau 10.x.x.x Inside PIX Outside Routeur Internet Internet Dans cet exemple, le gestionnaire du réseau a deux intervalles d'adresses publiques. Le gestionnaire du réseau doit traduire toute les adresses internes /8 en adresses externes publiques. Les intervalles d'adresses IP publiques que le gestionnai- re de réseau doit utiliser sont à 62 et à 254. Le gestion- naire réseau peut réaliser cela de la manière suivante : global (outside) − netmask global (outside) − netmask nat (inside) Note : Un système d'adressage générique est utilisé dans l'instruction nat. Cette ins- truction indique au PIX de traduire toute adresse source interne quand elle doit sortir sur Internet. L'adresse dans cette commande pourrait être plus spécifique si cela était nécessaire. ccnp_cch
14
Instructions NAT et PAT globales combinées
Schéma du réseau Host Réseau 10.x.x.x Inside PIX Outside Routeur Internet Internet Dans cet exemple, le FAI fournit l'intervalle d'adresses à 63 au gestion- naire du réseau pour la société. Le gestionnaire du réseau décide d'utiliser l'adresse pour l'interface interne du routeur Internet et pour l'in- terface externe du PIX. Il reste l'intervalle à 63 pour le pool NAT. Cepen- dant le gestionnaire du réseau sait qu'à tout moment il peut y avoir plus de soixante utilisateurs tentant de se connecter à Internet. Par conséquent le gestionnaire réseau décide de prendre l'adresse et de réaliser une traduction PAT ainsi plusieurs utilisateurs pourront utiliser la même adresse en même temps. global (outside) − netmask global (outside) netmask nat (inside) Ces commandes indiquent au PIX de traduire l'adresse source à pour les 59 premiers utilisateurs internes qui veulent accéder à Inter- net. Lorsque ces adresses sont épuisées, le PIX traduit toutes les autres adresses sour- ce suivantes vers jusqu'à ce qu'une adresse du pool NAT devienne li- bre. Note : Un système d'adressage générique est utilisé dans l'instruction nat. Cette ins- truction indique au PIX de traduire toute adresse source interne quand elle doit sortir sur Internet. L'adresse dans cette commande pourrait être plus spécifique si cela était nécessaire. ccnp_cch
15
Instructions NAT multiples avec liste d'accès nat 0
Schéma du réseau Host Réseau 10.x.x.x Inside PIX Outside Routeur Internet Réseau privé x Internet Dans cet exemple, le FAI fournit l'intervalle d'adresses à 63 au gestion- naire du réseau. Le gestionnaire du réseau décide d'utiliser l'adresse pour l'interface interne du routeur Internet et pour l'interface externe du PIX. Cependant dans ce scénario, un autre réseau LAN privé est placé sur le routeur Inter- net. Le gestionnaire du réseau ne veut pas gaspiller les adresses du pool global quand des hosts attachés à ces réseaux dialoguent entre eux. Le gestionnaire réseau doit toujours traduire les adresses source pour tous les utilisateurs internes ( /8) lorsqu'ils veulent accéder à Internet. access−list 101 permit ip global (outside) − netmask nat (inside) 0 access−list 101 nat (inside) Cette configuration ne traduit pas les adresses source /8 et avec une adresse destination /24. Elle traduit l'adresse source de tout trafic issu du réseau interne /8 et destiné à tout autre adresse que /24 en une adresse prise dans l'intervalle à 62. ccnp_cch
16
Utilisation d'une politique NAT
Schéma du réseau Host Réseau 10.x.x.x Inside PIX Outside Routeur Internet Internet Quand vous utilisez la commande nat avec une liste d'accès pour tout ID NAT autre que 0 alors vous validez la politique NAT. La politique NAT vous permet d'identifier le trafic local pour la traduction d'adresses quand vous spécifiez les adresses source et destination (ou les ports) dans la liste d'ac- cès. NAT classique utilise uniquement les adresses/ports source alors que la politique NAT utilise les adresses/ports source et destination. Note: toutes les types de NAT supportent la politique NAT sauf pour l'exclusion NAT (nat 0 access-list). L'exclusion NAT utilise une liste d'accès pour identifier les adres- ses locales sans prendre en compte les numéros de ports. Avec la politique NAT, vous pouvez créer de multiples instructions nat ou static qui identifient la même adresse locale tant que les combinaisons source/port et destina- tion/port sont uniques dans chaque instruction. Vous pouvez ensuite faire correspon- dre différentes adresses globales à chaque paire source/port et destination/port. Dans cet exemple, le gestionnaire réseau fournit l'accès pour l'adresse destination avec le port 80 (web) et le port 23 (Telnet) mais doit utiliser deux adresses IP différentes comme adresses source. L'adresse IP est utilisée comme adresse source pour le web. L'adresse IP est utilisée comme adresse source pour Telnet et doit traduire toute les adresses internes qui sont dans l'intervalle /8. ccnp_cch
17
Le gestionnaire du réseau peut réaliser cela avec : access−list WEB permit tcp eq 80 access−list TELNET permit tcp eq 23 nat (inside) 1 access−list WEB nat (inside) 2 access−list TELNET global (outside) global (outside) NAT statique Schéma du réseau Host Réseau 10.x.x.x Inside DMZ PIX Outside Serveur Web Routeur Internet Internet ccnp_cch
18
Une configuration NAT statique crée une correspondance un à un et traduit une adres- se spécifique en une autre adresse. Ce type de configuration crée une entrée perma- nente dans la table NAT tant que la configuration est présente et permet aux hosts in- ternes et externes d'initier une connexion. Ceci est principalement utilisé pour les hosts qui fournissent des services applicatifs tels que mail, web, FTP et autres. Dans cet exemple, les instructions nat static sont configurées pour permettre à des utilisa- teurs internes et externes d'accéder aux serveurs web de la DMZ. Cette sortie montre comment l'instruction static est construite. Notez l'ordre du map- ping et les adresses IP réelles. static (real_interface,mapped_interface) mapped_ip real_ip netmask mask Voici la traduction statique crée pour donner aux utilisateurs internes l'accès au ser- veur de la DMZ. Elle crée une correspondance entre une adresse interne et l'adresse du serveur sur la DMZ. Les utilisateurs internes peuvent accéder au serveur de la DMZ via l'adresse interne. static (DMZ,inside) netmask Voici la traduction statique crée pour donner aux utilisateurs externes l'accès au ser- veur de la DMZ. Elle crée une correspondance entre une adresse externe et l'adresse du serveur sur la DMZ. Les utilisateurs externes peuvent accéder au serveur de la DMZ via l'adresse externe. static (DMZ,outside) netmask Note : Comme l'interface externe a une priorité de sécurité plus basse que celle de la DMZ, une liste d'accès doit être également crée pour permettre aux utilisateurs exter- nes d'accéder au serveur de la DMZ. La liste d'accès doit donner l'accès aux utilisa- teurs des adresses mappées dans la traduction statique. Il est recommandé que cette liste d'accès soit la plus spécifique possible. dans ce cas, tout host est autorisé à accé- der au serveur web sur les ports 80 (www/ http) et 443 (www/https). access−list OUTSIDE extended permit tcp any host eq www access−list OUTSIDE extended permit tcp any host eq https La liste d'accès doit être appliquée à l'interface externe. access−group OUTSIDE in interface outside ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.