ASA防火墙静态PAT端口范围测试

<强>一。测试拓扑

<强>  ASA防火墙静态PAT端口范围测试

<强>

<强>二。测试思路

1。分别测试tcp和udp的连续端口拍

2。再用静态端口转换工具分别将tcp端口和udp端口转换到某个常用端口进行测试

——tcp转换到TCP23,用telnet测试

——udp转换到UDP514,用syslog发送进行测试

, 3。为了测试方便,防火墙只设两个区外面和里面

- - -将在服务器的TCP1000 ~ 2000映射到防火墙外口的TCP1000 ~ 2000上

- - -将在服务器的UDP1000 ~ 2000映射到防火墙外口的UPD2000 ~ 3000上

4。测试发现如果tcp端口范围与udp端口范围一样,第二个NAT配置不上,会报如下错误:

,错误:NAT无法储备港口。

<强>三。基本配置

<强> 1.外服务器

,知识产权:202.100.1.8/24

<强> 2。防火墙ASA842

界面GigabitEthernet0

外nameif安全级别0
ip地址202.100.1.10 255.255.255.0
!
界面GigabitEthernet1

nameif安全级别100
ip地址10.1.1.10 255.255.255.0 

<强> 3. intside服务器

,知识产权:10.1.1.8/24

,温伯格:10.1.1.10


<强>四。静态PAT端口范围配置

<强> 1。定义端口范围对象

对象网络,Inside_Server
,,,主机10.1.1.8

对象服务tcp_ports
,,,服务的tcp目的地范围1000 - 2000

对象服务udp_ports
,,,服务udp目的地范围2000 - 3000

<强> 2。配置twice-nat

静态nat(外面,里面)来源的任何静态界面,任何目的地Inside_Server  service  tcp_ports  tcp_ports

静态nat(外面,里面)来源的任何任何目的地static 界面,Inside_Server 服务udp_ports udp_ports 

<强> 3。配置并应用防火墙策略

访问列表以外的扩展允许tcp Inside_Server任何对象范围1000 - 2000
访问列表以外的扩展允许udp Inside_Server任何对象范围2000 - 3000

访问组在接口Outside 

<强> 4。测试验证

- - - - - -可以用多种方式验证,如果进行静态端口转换嫌麻烦,可以直接抓包验证

<强>  ASA防火墙静态PAT端口范围测试

<强>  ASA防火墙静态PAT端口范围测试

ASA防火墙静态PAT端口范围测试