Segurança : Dispositivos de segurança Cisco PIX 500 Series

Utilizando Instruções NAT e PAT no Cisco Secure PIX Firewall

7 Abril 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (13 Setembro 2013) | Inglês (24 Outubro 2008) | Feedback


Interativo: Este documento oferece uma análise personalizada do seu dispositivo Cisco.


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Convenções
Várias Instruções NAT com NAT 0
     Diagrama de Rede
Pools Globais Múltiplos
     Diagrama de Rede
Instruções Globais NAT e PAT Mistas
     Diagrama de Rede
Várias Instruções NAT com NAT 0 Access-List
     Diagrama de Rede
Política de Uso NAT
     Diagrama de Rede
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Este documento fornece exemplos de configurações básicas NAT e PAT no Cisco Secure PIX Firewall. Este documento também fornece diagramas de rede simplificados. Consulte a documentação PIX da versão de software do seu PIX para obter informações detalhadas.

Pré-requisitos

Requisitos

A Cisco recomenda que você tome conhecimento do Cisco Secure PIX Firewall.

Componentes Usados

As informações neste documento são baseadas nestas versões de hardware e software:

  • Cisco Secure PIX Firewall Software versão 5.3.1 e mais recente.

Observação: A política de NAT foi introduzida do 6.2.

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos.

Convenções

Para obter mais informações sobre convenções de documentos, consulte Convenções e Dicas Técnicas da Cisco.

Várias Instruções NAT com NAT 0

Diagrama de Rede

19-1.gif

Neste exemplo, o ISP fornece ao gerente da rede um intervalo de endereços (por exemplo, 172.16.1.1 para 172.16.1.63). (O ISP executa os endereços IP Públicos. Mas para fins de discussão, esse documento utiliza os endereços IP Privados.) O gerente de rede decide atribuir 172.16.1.1 à interface interna no roteador de Internet e 172.16.1.2 à interface externa do PIX.

O administrador de rede já possui um endereço de Classe C atribuído à rede, 192.168.10.0/24, e possui algumas estações de trabalho que utilizam esses endereços para acessar a Internet. Estas estações de trabalho não requerem qualquer tradução de endereço uma vez que já possuem endereços válidos. No entanto, as novas estações de trabalho recebem os endereços na rede 10.0.0.0/8 e precisam ser convertidas (porque 10.x.x.x é um dos espaços de endereço não rastreáveis por RFC 1918 leavingcisco.com.

Para acomodar esse projeto de rede, o administrador de rede deve usar duas instruções de NAT e um conjunto global da configuração do PIX:

global (outside) 1 172.16.1.3-172.16.1.62  netmask 255.255.255.192
nat (inside) 0 192.168.10.0 255.255.255.0 0 0
nat (inside) 1 10.0.0.0 255.0.0.0 0 0 

Essa configuração não converte o endereço de origem de qualquer tráfego de saída da rede 192.168.10.0/24. Ela converte um endereço de origem na rede 10.0.0.0/8 em um endereço no intervalo de 172.16.1.3 a 172.16.1.62 .

Observação: Quando você tiver uma interface com uma política de NAT e se não houver pool global para outra interface, será necessário configurar a exceção NAT utilizando nat 0.

Pools Globais Múltiplos

Diagrama de Rede

19-2.gif

Neste exemplo, o gerente da rede possui dois intervalos de endereços IP que estão registrados na Internet. O gerente da rede deve converter todos os endereços internos, que estão no intervalo 10.0.0.0/8, em endereços registrados. Os intervalos de endereços IP que o gerente de redes deve utilizar são de 172.16.1.1 a 172.16.1.62 e de 172.20.1.1 a 172.20.1.254 . O gerente da rede pode fazer o seguinte com isso:

global (outside) 1 172.16.1.3-172.16.1.62  netmask 255.255.255.192
global (outside) 1 172.20.1.1-172.20.1.254  netmask 255.255.255.0
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

Observe que um esquema de endereçamento de caractere geral é utilizado na instrução NAT. Essa instrução informa ao PIX para converter qualquer endereço de origem interno quando sair para a Internet. O endereço nesse comando pode ser mais específico, se desejado.

Instruções Globais NAT e PAT Mistas

Diagrama de Rede

19-3.gif

Neste exemplo, o ISP fornece ao gerente da rede um intervalo de endereços de 172.16.1.1 a 172.16.1.63 para uso da companhia. O gerente da rede decidiu utilizar 172.16.1.1 para a interface interna no roteador Internet e 172.16.1.2 para a interface externa no PIX. Você sairá com 172.16.1.3 a 172.16.1.62 para utilizar para o pool NAT. No entanto, o gerente da rede sabe que, a qualquer momento, pode haver mais de 60 pessoas tentando sair do PIX. O gerente da rede decidiu adotar 172.16.1.62 e torná-lo um endereço PAT para que vários usuários pudessem compartilhar um endereço ao mesmo tempo.

global (outside) 1 172.16.1.3-172.16.1.61  netmask 255.255.255.192
global (outside) 1 172.16.1.62  netmask 255.255.255.192
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

Esses comandos instruem o PIX para converter o endereço de origem para 172.16.1.3 a 172.16.1.61 para os primeiros 59 usuários internos para atravessar o PIX. Depois que esses endereços se esgotarem, o PIX converterá todos os endereços de origem subseqüentes para 172.16.1.62 até que um dos endereços no pool NAT fique livre.

Observação: Um esquema de endereçamento de caractere geral é utilizado na instrução NAT. Essa instrução informa ao PIX para traduzir qualquer endereço de origem interno quando sair para a Internet. O endereço nesse comando pode ser mais específico, se desejado.

Várias Instruções NAT com NAT 0 Access-List

Diagrama de Rede

19-4.gif

Neste exemplo, o ISP fornece novamente o gerente de rede com um intervalo de endereços de 172.16.1.1 a 172.16.1.63 . O gerente de rede decide atribuir 172.16.1.1 para a interface interna no roteador Internet e 172.16.1.2 para a interface externa do PIX.

No entanto, neste cenário, outro segmento LAN privado é colocado fora do roteador de Internet. O gerente de rede prefere não gastar os endereços do pool global quando os hosts nessas duas redes se comunicam entre si. O gerente de rede ainda precisa converter o endereço de origem para todos os usuários internos (10.0.0.0/8) quando sai para a Internet.

access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0
global (outside) 1 172.16.1.3-172.16.1.62  netmask 255.255.255.192
nat (inside) 0 access-list 101
nat (inside) 1 10.0.0.0 255.0.0.0 0 0

Essa configuração não converte esses endereços com um endereço de origem 10.0.0.0/8 e um endereço de destino 192.168.1.0/24. Converte o endereço de origem de qualquer tráfego iniciado de dentro da rede 10.0.0.0/8 e destinado para qualquer local diferente de 192.168.1.0/24 em um endereço do intervalo de 172.16.1.3 a 172.16.1.62 .

Se você tiver a saída de um comando write terminal do seu dispositivo Cisco, poderá utilizar a Output Interpreter Tool (clientes registrados somente) .

Política de Uso NAT

Diagrama de Rede

19-2.gif

Ao utilizar uma lista de acesso com o comando nat para qualquer NAT ID diferente de 0, habilitará a política de NAT.

A política de NAT permite identificar o tráfego local para a tradução de endereço, pela especificação dos endereços de origem e de destino (ou portas) em uma lista de acesso. O NAT regular utiliza endereços/portas de origem apenas. A política de NAT utiliza endereços/portas de origem e de destino.

Observação: Todos os tipos de NAT suportam política de NAT, exceto para isenção de NAT (nat 0 access-list). A isenção de NAT utiliza uma lista de controle de acesso para identificar os endereços locais, mas difere da política de NAT porque as portas não são consideradas.

Com a política de NAT, você pode criar várias instruções estáticas ou NAT que identificam o mesmo endereço local contanto que a combinação de origem/porta e destino/porta seja exclusiva para cada instrução. Em seguida, você pode combinar diferentes endereços globais a cada par origem/porta e destino/porta.

Neste exemplo, o gerente de rede precisa fornecer acesso para o endereço IP de destino 172.30.1.11 para a porta 80 (web) e a porta 23 (Telnet), mas deve utilizar dois endereços IP diferentes como um endereço de origem. 172.16.1.3 é utilizado como um endereço de origem para Web e 172.16.1.4 é utilizado para Telnet, e deve converter todos os endereços internos, que estão no intervalo 10.0.0.0/8. O gerente da rede pode fazer o seguinte com isso:

access-list WEB permit tcp 10.0.0.0 255.0.0.0
172.30.1.11  255.255.255.255 eq 80
access-list TELNET permit tcp 10.0.0.0 255.0.0.0 172.30.1.11
255.255.255.255 eq 23

nat (inside) 1 access-list WEB
nat (inside) 2 access-list TELNET
global (outside) 1 172.16.1.3  255.255.255.192
global (outside) 2 172.16.1.4  255.255.255.192

Você pode utilizar Output Interpreter Tool (clientes registrados somente) para exibir os problemas e as correções em potencial.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 15243