Cisco ASA での基本的な NAT 設定例

Cisco ASA における基本的な NAT 設定をメモしておきます。

構成

検証構成は以下の通りです。

LAN → WAN への NAT

インターフェイスで Source NAT し、LAN 側から WAN 側 (インターネット) へ通信する場合の設定例は以下の通りです。 下記では LAN 内のアドレスが 192.168.1.0/24 しかありませんが、複数アドレスが存在する場合も設定しやすいように object-group を設定しています。

object network LAN1
 subnet 192.168.1.0 255.255.255.0
!
object-group network LAN
 network-object object LAN1
!
nat (inside,outside) source dynamic LAN interface
!
access-list INSIDE-TO-OUTSIDE extended permit ip object-group LAN any
!
access-group INSIDE-TO-OUTSIDE in interface inside

送信元 NAT される際、パケットは以下のように書き換えられます。

WAN → LAN への NAT

インターネット側からのアクセスを outside 側で受け、NAT して LAN 側のサーバへ転送する設定例は以下の通りです。 下記では DNS (53/UDP) サーバをインターネット向けに公開する設定例です。

object network Ubuntu
 host 192.168.1.100
 nat (inside,outside) static 10.0.1.100 service udp 53 53
!
access-list OUTSIDE-TO-INSIDE extended permit ip any4 object Ubuntu
!
access-group OUTSIDE-TO-INSIDE in interface outside

outside 側で宛先 NAT される際、パケットは以下のように書き換えられます。