В данном случае мы будем выпускать 'в мир' всё ту же многострадальную сеть - 10.10.10.0/24. Это наши настоящие (real_IP) адреса на интерфейсах внутренних хостов. PIX(config)# nat (inside) 1 10.10.10.0 255.255.255.0 Транслироваться всё это будет в один адрес global_IP: PIX(config)# global (outside) 1 192.168.100.130 Однако, зачастую интерфейсов на нашем firewall чем два, возможно остальным тоже необходимо получать доступ? Добавляем правило трансляции для еще одного интерфейса, необходимо использовать такой же nat-id. PIX(config)# nat (inside2) 1 10.10.11.0 255.255.255.0 Теперь хосты из двух подсетей 10.10.10.0/24 и 10.10.11.0/24 видны как один адрес 192.168.100.130. Теперь вполне возможна ситуация, когда лимитов на соединение (около 64 тысяч) будет уже не хватать. Есть возможность выделить еще несколько адресов для РАТ. PIX(config)# global (outside) 1 192.168.100.12 PIX(config)# global (outside) 1 192.168.100.13 Есть возможность ипользовать адрес интерфейса, для РАТ трансляции. PIX(config)# global (outside) 1 interface Также для определения адресов подлежащих трансляции можно пользоваться acl. В примере ниже разрешена трансляция адресов сети 10.10.10.0/24 в адрес outside интерфейса с помощью acl в том случае если адрес назначения сеть 10.10.100.0/24 PIX(config)# access-list someflow permit ip 10.10.10.0 255.255.255.0 10.10.100.0 255.255.255.0 PIX(config)# nat (inside) 1 access-list someflow PIX(config)# global (outside) 1 interface Это не так очевидно, посему особо отмечу: конфигурация NAT от PAT отличается только способом указания global_IP.В первом случае указывается диапазон, во втором отдельные адреса.
0 Comments
Leave a Reply. |
AuthorWrite something about yourself. No need to be fancy, just an overview. Archives
May 2018
Categories |