ASA靜態PAT的雙向訪問測試及理解

2021-09-21 08:25:49 字數 3605 閱讀 8035

一.概述:

靜態pat一般是用在外部訪問內部時,將外部ip的某個埠對映到內部主機的服務埠,這樣外部主機通過訪問外部ip的埠,就能很輕鬆的訪問到內部主機的服務(需要策略放行),但是在看《cisco asa 5500 series configuration guide using the cli, 8.4 and 8.6》文件的時候,說靜態pat與靜態nat一樣,也是雙向的,感到很困惑,如是打算實際測試驗證一下。

二.基本思路:

a.靜態pat從外網訪問內網,是經常用的,主要需要驗證從內部訪問外部是是否做了位址轉換。

b.tcp和udp訪問的源埠都是隨機的,大於1023,並且正常情況下不能指定:

---因此需要找到能指定源埠的程式

---在實際工作中正好用到一款公司自主開發的windows的syslog傳送工具可以指定源埠和目標埠,於是用它來測試。

c.測試環境為:

---將外部介面的udp 514埠對映到內部一台主機的udp514

①.從外部主機傳送syslog到外部介面的udp514,驗證目標位址轉換。

②.從內部被對映的主機向外部主機傳送syslog,傳送的時候指定源埠和目標埠都為514,在外部主機抓包,看源位址是否轉換。

③.並且順帶的驗證一下靜態pat優先順序比動態pat要高。

d.實際靜態pat這種雙向訪問是沒有多大用處的,因為源埠很難手工指定的,像把外部介面的tcp23靜態pat到內部一台主機的tcp23,而正常情況下tcp源埠不可能為23埠的,因為內部出去的時候正常情況下是不會pat的。

---有一種情況可以用的上,比如syslog傳送,因為審計的時候需要審計真實位址,而不是nat後的位址,可以配置靜態pat來實現源位址不轉換(一般的主機syslog源埠是可以指定的,linux預設為udp514):

object network inside_net_syslog

subnet 100.1.1.0 255.255.255.0

object network inside_net_syslog_nonat

subnet 100.1.1.0 255.255.255.0

object network inside_net_syslog_nonat

nat (inside,outside) static inside_net_syslog service udp syslog syslog 

這樣當指定inside區100.1.1.0/24網段主機向outside區的syslog伺服器傳送sylog的udp源埠為514時,就可以實現ip位址自己**己(等於不轉)。

三.測試拓撲:

inside_pc1(.8)--100.1.1.0/24-----(.1)asa842(.1)---202.100.1.0/24-----(.8)outside_pc2

四.基本配置:

a.inside_pc1

ip:100.1.1.8/24

gw:100.1.1.1

b.

asa842

:①介面配置:

inte***ce gigabitethernet0

nameif inside

security-level 100

ip address 100.1.1.1 255.255.255.0 

no shut

inte***ce gigabitethernet1

nameif outside

security-level 0

ip address 202.100.1.1 255.255.255.0 

no shut

②靜態pat配置:

object network inside_pc1

host 100.1.1.8

object network inside_pc1

nat (inside,outside) static inte***ce service udp syslog syslog 

③策略配置:

access-list outside extended permit icmp any any 

access-list outside extended permit udp any object inside_pc1 eq syslog

access-group outside in inte***ce outside

c.outside_pc2:

ip:202.100.1.8/24

gw:202.100.1.1

五.測試:

a.外部主機給內部主機傳送syslog:

----未指定源埠

①外部主機抓包截圖:

②內部主機抓包截圖:

---從兩個截圖很容易看出:源位址為指定時為1023以上的埠;在內部主機看到資料報做了目標位址轉換

b.內部主機給外部主機傳送sylog:

---手工指定源埠為udp514,傳送完syslog之後,為了對比,進行ping。

①內部主機抓包截圖:

②外部主機抓包截圖:

---從兩個截圖很容易看出:當內部主機傳送syslog的源位址指定為514,出了asa防火牆,源位址做了轉換;ping包沒有受靜態pat的影響,源位址沒有發生改變。

c.測試靜態pat與動態pat的優先順序:

object network inside_pc1

host 100.1.1.8

object network inside_pc1

nat (inside,outside) static 202.100.1.2 service udp syslog syslog

②配置動態pat:

object network inside_network

subnet 100.1.1.0 255.255.255.0

object network inside_network

nat (inside,outside) dynamic inte***ce

③內部主機ping外部主機:

---外部主機抓包截圖,可以看到ping走的是動態pat。

④內部主機指定syslog源埠:

---外部主機抓包截圖,可以看到走的是靜態pat,因為源位址為202.100.1.2,而不是防火牆介面位址202.100.1.1。

⑤內部主機指定sylog源埠不為靜態pat的埠:

---外部主機抓包截圖,可以看到走的是動態pat,因為源位址為防火牆介面位址202.100.1.1。

ASA防火牆靜態PAT埠範圍測試

一.測試拓撲 二.測試思路 1.分別測試tcp和udp的連續埠pat 2.再用靜態埠轉換工具分別將tcp埠和udp埠轉換到某個常用埠進行測試 tcp轉換到tcp23,用telnet測試 udp轉換到udp514,用syslog傳送進行測試 3.為了測試方便,防火牆只設兩個區outside和insid...

ASA對FTP的審查抓包測試

一.概述 二.測試思路及結論 a.關閉asa的ftp審查,確認ftp被動模式是否能正常工作 能正常工作,ftp被動模式都由inside的ftp客戶端主動發起,防火牆不需要放行策略的ftp審查就能正常工作 b.關閉asa的ftp審查,inside路由器作為ftp客戶端設定為主動模式,確認ftp主動模式...

測試php單例模式和靜態訪問,例項化訪問的效率

測試的類 class memory public static function getname return self a public static function getok echo 開始記憶體 memory get usage a memory get usage stime micro...