PIX&ASA的NAT与STATIC

老胳膊整理的以下关于 PIXASA的NAT与STATIC 命令总和： 动态转换---NAT： #nat (inside) 1 10.0.0.0 255.255.255.0 #global (outside) 1 192.168.0.20-192.168.0.254 netmask 255.255.255.0 将10.x网段转换为192.168.0.20-254这个ip池 不转换地址： (config)

老胳膊整理的以下关于PIX&ASA的NAT与STATIC命令总和：

动态转换---NAT：
#nat (inside) 1 10.0.0.0 255.255.255.0
#global (outside) 1 192.168.0.20-192.168.0.254 netmask 255.255.255.0
   将10.x网段转换为192.168.0.20-254这个ip池

不转换地址：
(config)#access-list nonat permit ip host 10.1.1.1 any
(config)#nat (inside) 0 access-list nonat

端口转换---PAT： 
    1个ip可以做65535-1024个PAT（理论值）

端口复用：
#nat (inside) 1 10.0.0.0 255.255.0.0
#global (outside) 1 192.168.0.3 netmask 255.255.255.255
   将10.x网段转换为192.168.0.3一个ip对应不同的端口。

使用outside interface地址：
#nat (inside) 1 10.0.0.0 255.255.0.0
#global (outside) 1 interface

端口映射：
#static (i,o) tcp 20.1.1.100 23 10.1.1.100 23
   将inside的10.1.1.100的23号端口映射到20.1.1.100的23号端口上
可用static做DOS防御，TCP和UPD都有最大连接数，UDP没有半开链接数，如：
static (inside,outside) 202.100.1.101 10.1.1.1 tcp     100                  1000
                                                                      最大全开链接    最大半开链接

static nat
基于不同的目的转换为不同的地址（生成永久的xlate表项）
access-list nat-to-202 per ip host 10.1.1.1 202.100.1.0
access-list nat-to-2 per ip host 10.1.1.1 2.2.2.0
static (i,o) 202.100.1.202 access-list nat-to-202
static (i,o) 202.100.1.2 access-list nat-to-2

static pat
基于特定的流量，把内部的特定主机的特定端口，转换为外部的特定主机的特定端口（生成永久的xlate表项）
access-list nat-to-202 per tcp host 10.1.1.1 eq telnet 202.100.1.0 255.255.255.0
access-list nat-to-2 per tcp host 10.1.1.1 eq telnet 2.2.2.0 255.255.255.0
static (i,o) tcp 202.100.1.101 2323 access-list nat-to-202
static (i,o) tcp interface 23 access-list nat-to-2

 

Policy nat
access-list nat-to-202 per ip host 10.1.1.1 host 202.100.1.1
access-lsit nat-to-2 per ip host 10.1.1.1 host 2.2.2.2
nat (inside) 1 access-list nat-to-202
glob (outside) 1 202.100.1.202
nat (inside) 2 access-list nat-to-2
glob (outside) 2 202.100.1.2

access-list nat-to-3032 per tcp host 10.1.1.1 host 202.100.1.1 eq 3032
access-list nat-to-23 per tcp host 10.1.1.1 host 202.100.1.1 eq 23
nat (inside) 1 access-list nat-to-3032
glob (outside) 1 202.100.1.32
nat (inside) 2 access-list nat-to-23
glob (outside) 2 202.100.1.23

 

bypass nat

nat (inside) 0 10.1.1.0 255.255.255.0
             0表示不转换

 

NAT检查顺序
1. nat+acl
2. static
3. policy nat
4. nat+address
5. 地址池用完，使用pat（glob+地址）

 

相同网段必须在pix的outside端口启用ARP代理功能
sysopt noproxyarp outside   //在outside端口关闭ARP代理，一定不能使用。。。

 

clear local-host    //清除xlate、连接表项

 

 

sh xlate 查看IP对应关系，存活周期3小时，更改表项需清除xlate
更改任何NAT选项，需要执行clear xlate(清除动态xlate表项)

sh connect 检查连接项，可看到所有活跃链接
show local-host
 

老胳膊BLOG