Prise en main ASA et nat statique
- FIREWALL ASA et NAT STATIC
ARCHITECTURE
- Attribution des adresses IP aux interfaces
- Sur le routeur Router0
Router(config)#interface FastEthernet0/0
Router(config-if)#ip address 10.10.10.2 255.255.255.0
Router(config-if)#no shutdown
Router(config)#interface FastEthernet0/1
Router(config-if)#ip address 11.11.11.1 255.255.255.0
Router(config-if)# no shutdown
- Sur le routeur Router1
Router(config)#interface FastEthernet0/0
Router(config-if)#ip address 11.11.11.2 255.255.255.0
Router(config-if)# no shutdown
- Sur le firewall ASA 5505
- L’interface et0/1
L’interface et0/1 est sur le vlan1 avec l’adresse 192.168.1.1 et on a un dhcp-server déjà configuré.
- L’interface et0/0
On remarque que l’interface et0/0 est sur le vlan2, donc on lui affecte l’adresse 10.10.10.1
ASA-EC2LT(config)# interface Vlan2
ASA-EC2LT(config-if )#ip address 10.10.10.1 255.255.255.0
- L’interface et0/2
ASA-EC2LT(config)#interface Vlan3
ASA-EC2LT(config-if)#no forward interface Vlan1
ASA-EC2LT(config-if)#nameif dmz
ASA-EC2LT(config)#security-level 50
ASA-EC2LT(config)#ip address 192.168.2.1 255.255.255.0
ASA-EC2LT(config-if)#exit
ASA-EC2LT(config)# interface Ethernet0/2
ASA-EC2LT(config-if)# switchport access vlan 3
ASA-EC2LT(config-if)#no shutdown
On définit la route par défaut.
ASA-EC2LT(config)#route outside 0.0.0.0 0.0.0.0 10.10.10.2 1
Configuration du NAT Static
ASA-EC2LT(config)# object network DMZ-SERVER
ASA-EC2LT(config-network-object)#host 192.168.2.2
ASA-EC2LT(config-network-object)# nat (dmz,outside) static 10.10.10.10
ASA-EC2LT(config-network-object)#exit
Configuration des Acl
ASA-EC2LT(config)# access-list OUTSIDE-DMZ extended permit ip any host 192.168.2.2
ASA-EC2LT(config)# access-group OUTSIDE-DMZ in interface outside
Sur routeur1
On définit la route par défaut.
Router(config)#ip route 0.0.0.0 0.0.0.0 11.11.11.1
On donne l’adresse 10.10.10.1 à PC1 pour pouvoir tester
Vérification du contenu du nat avec la commande show xlate.
- Test