Contents

ASA Firewall NAT

   Mar 9, 2023     4 min read

방화벽 NAT의 우선 순위

  • ASA 버전 8.3 이전엔 장비 단위로 이루어지던 NAT 설정이 8.3 이후는 NAT설정이 네트워크 오브젝트 단위로 이루어진다. 즉 특정 네트워크 또는 호스트 단위로 설정이 이루어진다.

  • [동작방식]의 분류가 아니라 [설정방식]에 따른 분류이다.

Section설명
Section 1Manual NAT policies (Twice NAT) : These are processed in the order in which they appear in the configuration.
Section 2 (구성 방법 : Static NAT, Dynamic NAT, PAT, PAR)Auto NAT policies (Object NAT) : These are processed based on the NAT type (static or dynamic) and the prefix (subnet mask) length in the object.
Section 3After-auto manual NAT policies (Manual NAT) : These are processed in the order in which they appear in the configuration.



ASA NAT 기본 구성

사진첨부

Ex. 01

  • Section 2 : Object NAT (Auto NAT)

사진첨부

방법 - Dynamic NAT (n:n)

ASA)

object network Global_IP
range 10.10.10.1 10.10.10.254

object network inside_net
subnet 192.168.20.0 255.255.255.0
nat (inside,outside) dynamic Global_IP



결과

사진첨부
W7에서 http://223.255.255.1로 접근을 해 주고,

사진첨부
vIOS4에서도 telnet 223.255.255.1 80으로 접근을 해 준다.

사진첨부
Foreign Address2개가 다른 것을 확인할 수 있다.

Ex. 02

사진첨부

방법 - PAT (1:n)

  • 유형 01

ASA)

object network inside_net
subnet 192.168.20.0 255.255.255.0
nat (inside,outside) dynamic interface



  • 유형 02

ASA)

object network inside_net
subnet 192.168.20.0 255.255.255.0
nat (inside,outside) dynamic 1.1.13.1



  • 유형 03
object network G_IP
host 1.1.13.4

object network inside_net
subnet 192.168.20.0 255.255.255.0
nat (inside,outside) dynamic G_IP



결과

역시 ipconfig /flushdns 를 하고 http와 telnet 접근을 해 본다.

사진첨부
Foreigh Address가 1.1.13.2로 나왔다.

Ex. 03

사진첨부

방법 - Static NAT (1:1)

ASA)

object network http_svr
host 192.168.10.1
nat (dmz,outside) static 211.175.185.1

access-list out_dmz permit tcp any host 192.168.10.1 eq 80
access-group out_dmz in interface outside



결과

사진첨부

W6)

http://211.175.185.1



Ex. 04

사진첨부

방법 - PAR

  • Port Address Redirection, Static PAT

ASA)

object network http_svr
host 192.168.10.1
nat (dmz,outside) static 211.175.185.1 service tcp 80 80

object network ftp_svr
host 192.168.10.2
nat (dmz,outside) static 211.175.185.1 service tcp 21 21

access-list out_dmz permit tcp any host 192.168.10.1 eq 80
access-list out_dmz permit tcp any host 192.168.10.2 eq 21
access-list out_dmz permit tcp any host 192.168.10.2 eq 20
access-group out_dmz in interface outside



결과

사진첨부

사진첨부

Ex. 05

사진첨부

방법 - Section 3

  • Section 3 : After-auto manual NAT (Manual NAT)

ASA)

nat (any,outside) after-auto source dynamic any interface



결과

사진첨부

Ex. 06

사진첨부

방법 - Section 1

  • Section 1 : Manual NAT (Twice Nat)

vIOS2)

line vty 0 4
password cisco
login
transport input telnet

enable secret it



  • Section 1
object network Site-A → Real Destination
host 10.10.10.10

object network G_IP_A → Real Source를 변경할 공인 주소
host 211.175.195.1

object network IN_NET → Real Source
subnet 192.168.20.0 255.255.255.0

nat (inside,outside) source dynamic IN_NET G_IP_A destination static Site-A Site-A



  • Section 2
object network inside_net
subnet 192.168.20.0 255.255.255.0
nat (inside,outside) dynamic 1.1.13.3



  • Seciton 3
nat (any,outside) after-auto source dynamic any interface



참고

  • 기존 Object, NAT 설정 삭제
clear configure object



  • 기존 ACL 초기화
clear configure access-list out_dmz