Qué es NAT y cómo funciona - episodio 3

30 0 4 0

Reimpresión autorizada por el autor zhushigeng (Vinsoney)


4. Despliegue de NAT en un NGFW


4.1 Dirección de origen NAPT basada en grupos de direcciones


094342xh8rx08dkih2xhad.png


Como se muestra en la figura anterior, un servidor está conectado a un firewall a través de un conmutador. La puerta de enlace predeterminada 

del servidor se establece en GE 1/0/1 del firewall. Para garantizar la seguridad del servidor, la dirección IP de origen del servidor debe convertirse

 en una dirección IP en un rango de 10.1.1.5 a 10.1.1.10 cuando el servidor accede a la red externa.


Las configuraciones clave del firewall son las siguientes:


# No se describe la asignación de direcciones IP a interfaces de firewall y configuraciones básicas, como agregar interfaces a zonas de seguridad.


# Cree un grupo de direcciones de origen denominado Pool1 y configure el modo de conversión de NAT de origen en PAT (indica NAPT que convierte

 tanto las direcciones IP como los números de puerto para que varios hosts de la intranet puedan compartir una dirección IP pública para acceder a la 

red externa al mismo tiempo).


[FW] nat address-group Pool1

[FW-nat-address-group-Pool1] section 10.1.1.5 10.1.1.10

[FW-nat-address-group-Pool1] nat-mode pat


# Cree una política de NAT de origen para que el servidor pueda traducir la dirección de origen al acceder a la red externa.


[FW] nat-policy

[FW-policy-nat] rule name nat1

[FW-policy-nat-rule-nat1] source-zone trust                        

[FW-policy-nat-rule-nat1] destination-zone untrust                     

[FW-policy-nat-rule-nat1] source-address 192.168.10.0 24        

[FW-policy-nat-rule-nat1] action nat address-group Pool1

[FW] security-policy

[FW-policy-security] rule name test1

[FW-policy-security-rule-test1] source-zone trust

[FW-policy-security-rule-test1] destination-zone untrust

[FW-policy-security-rule-test1] source-address 192.168.10.0 24

[FW-policy-security-rule-test1] action permit


Con las configuraciones anteriores completas, cuando el servidor (por ejemplo, 192.168.10.5) accede a una red externa (por ejemplo, ping 10.1.1.2), se muestran las siguientes entradas de sesión:


<FW> display firewall session table

 Current Total Sessions : 5

 icmp  VPN: public --> public  192.168.10.5:22360[10.1.1.9:2050] --> 10.1.1.2:2048

La dirección IP entre paréntesis se convierte desde la dirección IP de origen de 192.168.10.5.




4.2 Servidor interno de NAT


094342u282llbzw5qbwrcj.png


Como se muestra en la figura anterior, un servidor está conectado a un firewall a través de un conmutador. La puerta de enlace predeterminada 

del servidor se establece en GE 1/0/1 del firewall. Por razones de seguridad, las direcciones IP reales de los servidores blade no pueden estar 

expuestas a redes externas cuando se accede a algunas de ellas por redes externas. El servidor interno de NAT se puede implementar en el

 firewall. Un servidor interno en 192.168.10.5 se usa como ejemplo y se asigna a una dirección IP pública de 10.1.1.11 para que los usuarios de la

 red externa puedan acceder a 192.168.10.5 mediante el envío de solicitudes a la dirección IP pública.


Suponga que el servidor se encuentra en una zona de confianza y que la red externa está en una zona no confiable.


# No se describe la asignación de direcciones IP a interfaces de firewall y configuraciones básicas, como agregar interfaces a zonas de seguridad.


# Configurar la función del servidor interno de NAT (Servidor NAT).


[FW] nat server s1 zone untrust global 10.1.1.11 inside 192.168.10.5


# Configure una política de seguridad y cree una regla de seguridad para que los usuarios en la zona no confiable puedan acceder a 192.168.10.5 en la zona de confianza.


[FW] security-policy

[FW-policy-security] rule name External_to_Server

[FW-policy-security-rule-External_to_Server] source-zone untrust

[FW-policy-security-rule-External_to_Server] destination-zone trust

[FW-policy-security-rule-External_to_Server] destination-address 192.168.10.5 32

[FW-policy-security-rule-External_to_Server] action permit

Con las configuraciones anteriores completas, cuando un usuario de la red externa (por ejemplo, 10.1.1.2) accede a 10.1.1.11 (por ejemplo, ping 10.1.1.11), puede ver las siguientes entradas de sesión en el firewall:


<FW> display firewall session table

 Current Total Sessions : 1

 icmp  VPN: public --> public  10.1.1.2:52651 --> 10.1.1.11:2048[192.168.10.5:2048]


La dirección IP de destino entre paréntesis se convierte desde la dirección IP privada por el dispositivo NAT.


4.3 Escenario de uso de la función de servidor interno de NAT



El comando nat server s1 zone untrust global 10.1.1.11 dentro de 192.168.10.5 crea un servidor interno NAT denominado s1 (que puede personalizarse). 

Este comando asigna una dirección IP interna 192.168.10.5 a una dirección IP pública 10.1.1.11. Por ejemplo, cuando un usuario en una zona no confiable

 accede a la dirección IP de destino 10.1.1.11, la dirección IP de destino del paquete se convierte en 192.168.10.5.


Se pueden configurar varios parámetros en la función del servidor interno de NAT para aplicar a diferentes escenarios de servicio. Los métodos de 

configuración son los siguientes:


Método de configuración 1:


094343f6je13od6kjo6azh.png


[FW] nat server s1 global 200.1.1.100 inside 172.16.1.1


Se configura el mapeo uno a uno de las direcciones IP. Cuando un servidor de seguridad recibe un paquete (con cualquier número de puerto de destino) destinado a 200.1.1.100, el servidor de seguridad convierte la dirección de destino a 172.16.1.1. Cuando el servidor de seguridad recibe un paquete enviado por un servidor (172.16.1.1) para acceder a un cliente, el servidor de seguridad convierte la dirección IP de origen en 200.1.1.100. Por lo tanto, los usuarios de Internet y el servidor pueden acceder entre sí.


Método de configuración 2:


094344tzj0cgvxjs0sasxs.png


[FW] nat server s2 zone untrust global 200.1.1.100 inside 172.16.1.1


Cuando la palabra clave de la zona y el parámetro Untrust no están configurados, la función del servidor interno de NAT tiene efecto solo en los paquetes enviados a la zona no confiable. La traducción de la dirección de destino se realiza solo para los paquetes recibidos por una interfaz en la zona no confiable.


Modo de configuración 3:


094345l6pt7st62j1o2t55.png


[FW] nat server s3 zone untrust protocol tcp global 200.1.1.200 22323 inside 172.16.1.1 23


La palabra clave del protocolo y el parámetro TCP están configurados. Cuando un servidor de seguridad recibe tráfico TCP destinado para 200.1.1.200:22323 enviado por una interfaz no confiable, el servidor de seguridad convierte la dirección IP de destino a 172.16.1.1 y el número de puerto TCP de destino a 23.


Modo de configuración 4:


094345i1yuptyp9pvyvvz9.png

[FW] nat server s4 zone untrust protocol tcp global 200.1.1.200 21111 inside 172.16.1.1 23

[FW] nat server s5 zone untrust protocol tcp global 200.1.1.200 21112 inside 172.16.1.2 23


Si varios servidores internos utilizan una dirección IP pública para anunciar rutas, puede ejecutar el comando del servidor nat varias veces y configurar el parámetro del puerto global (marcado en rojo) en un valor diferente en el comando cada vez. Cuando un cliente envía una solicitud a 200.1.1.200:21111, el cliente accede al servidor 1. Cuando el cliente envía una solicitud a 200.1.1.200:21112, el cliente accede al servidor 2.


Método de configuración 5:


094346z7xpjzxxcxjniitp.png


[FW] nat server for1 zone untrust11 protocol tcp global 200.1.1.200 21111 inside 172.16.1.1 23

[FW] nat server for2 zone untrust22protocol tcp global 200.2.2.200 21111 inside 172.16.1.1 23


Si un servidor interno anuncia varias direcciones IP públicas para que las redes externas accedan o si los enlaces a las direcciones IP públicas están en diferentes zonas de seguridad, puede configurar la función del servidor interno NAT para anunciar una dirección IP pública particular de cada zona de seguridad.


Metodo de configuración 6:


094346zax174z7xj407jx4.png


[FW] nat server for1 zone untrust protocol tcp global 200.1.1.200 21111 inside 172.16.1.1 23 no-reverse

[FW] nat server for2 zone untrust protocol tcp global 200.2.2.200 21111 inside 172.16.1.1 23 no-reverse


Si un servidor interno anuncia varias direcciones IP públicas para que las redes externas accedan o si los enlaces a las direcciones IP públicas están en la misma zona de seguridad, puede ejecutar el comando del servidor nat con el parámetro no-reverse configurado. Después de que se especifique el parámetro de no reversión, puede configurar la asignación entre varias direcciones públicas (globales) y la misma dirección IP privada (dentro).


Después de configurar el parámetro de no retroceso, el servidor interno no puede traducir la dirección IP privada del servidor interno a una dirección IP pública cuando se accede de manera proactiva a la red externa. Como resultado, el servidor interno no puede iniciar conexiones a la red externa. Por lo tanto, el parámetro sin retroceso se puede utilizar para deshabilitar el acceso del servidor interno a la red externa de forma proactiva. El servidor interno no puede acceder de forma proactiva a la red externa porque el parámetro sin retroceso está configurado. En este caso, si el servidor interno desea acceder a la red externa, configure una política de NAT de origen en la zona interconectada entre el área donde reside el servidor interno y el área donde reside la red externa, de modo que la política se pueda utilizar para convertir la red privada. Dirección IP del servidor a una dirección IP pública. La dirección IP en un grupo de direcciones referenciado por la política NAT de origen puede ser una dirección global o una dirección pública.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba