当前位置: 老葡京网站娱乐 > 网络技术 > 防火墙 > 正文

ASA静态PAT的双向访问测试及理解

时间:2014-01-11

老葡京网站娱乐 www.sdguanhua.com 一.概述:

静态PAT一般是用在外部访问内部时,将外部IP的某个端口映射到内部主机的服务端口,这样外部主机通过访问外部IP的端口,就能很轻松的访问到内部主机的服务(需要策略放行),但是在看《Cisco ASA 5500 Series Configuration Guide using the CLI, 8.4 and 8.6》文档的时候,说静态PAT与静态NAT一样,也是双向的,感到很困惑,如是打算实际测试验证一下。

二.基本思路:

A.静态PAT从外部访问内网,是经常用的,主要需要验证从内部访问外部是是否做了地址转换。

B.因为TCP和UDP访问的源端口都是随机的,大于1023,并且正常情况下不能指定。

---因此需要找到能指定源端口的程序

---在实际工作中正好用到一款公司自主开发的windows的syslog发送工具可以指定源端口和目标端口,如是用它来测试。

C.测试环境为:

---将外部接口的UDP 514端口映射到内部一台主机的UDP514

①.从外部主机发送syslog到外部接口的UDP514,验证目标地址转换。

②.从内部被映射的主机向外部主机发送syslog,发送的时候指定源端口和目标端口都为514,在外部主机抓包,看源地址是否转换。

③.并且顺带的验证一下静态PAT优先级比动态PAT要高。

D.实际静态PAT这种双向访问是没有多大用处的,因为源端口很难手工指定的,像把外部接口的TCP23静态PAT到内部一台主机的TCP23,而正常情况下TCP源端口不可能为23端口的。

---有一种情况可以用的上,比如syslog发送,因为审计的时候需要审计真实地址,而不是NAT后的地址,可以配置静态PAT来实现源地址不转换(一般的主机syslog源端口是可以指定的,linux默认为UDP514):

object network Inside_Net_syslog
subnet 100.1.1.0 255.255.255.0
object network Inside_net_syslog_nonat
subnet 100.1.1.0 255.255.255.0
object network Inside_net_syslog_nonat
nat (Inside,Outside) static Inside_Net_syslog service udp syslog syslog

这样当指定Inside区100.1.1.0/24网段主机向Outside区的syslog服务器发送sylog的udp源端口为514时,就可以实现IP地址自己转自己(等于不转)。