Cisco ASA における基本的な NAT 設定をメモしておきます。
構成
検証構成は以下の通りです。
LAN → WAN への NAT
インターフェイスで Source NAT し、LAN 側から WAN 側 (インターネット) へ通信する場合の設定例は以下の通りです。 下記では LAN 内のアドレスが 192.168.1.0/24 しかありませんが、複数アドレスが存在する場合も設定しやすいように object-group を設定しています。
object network LAN1
subnet 192.168.1.0 255.255.255.0
!
object-group network LAN
network-object object LAN1
!
nat (inside,outside) source dynamic LAN interface
!
access-list INSIDE-TO-OUTSIDE extended permit ip object-group LAN any
!
access-group INSIDE-TO-OUTSIDE in interface inside送信元 NAT される際、パケットは以下のように書き換えられます。
WAN → LAN への NAT
インターネット側からのアクセスを outside 側で受け、NAT して LAN 側のサーバへ転送する設定例は以下の通りです。 下記では DNS (53/UDP) サーバをインターネット向けに公開する設定例です。
object network Ubuntu
host 192.168.1.100
nat (inside,outside) static 10.0.1.100 service udp 53 53
!
access-list OUTSIDE-TO-INSIDE extended permit ip any4 object Ubuntu
!
access-group OUTSIDE-TO-INSIDE in interface outsideoutside 側で宛先 NAT される際、パケットは以下のように書き換えられます。
コメント