Duvida NAT Asa 5510

Boa noite pessoal!

Tenho uma duvida com meu fwl, e precisaria da ajuda de voces.

Sei que com iptables, consigo fazer a seguinte situação:

Origem Destino Porta Translate Translate Port
ALL IP_VALIDO 80 servidor_1 80
200.200.200.200 IP_VALIDO 80 servidor_2 80

Lendo:
- qlq origem, com destino ao IP_VALIDO na porta 80 manda pro servidor_1 na porta 80
- somente a origem 200.200.200.200, com destino ao IP_VALIDO na porta 80, manda pro servidor_2 na porta 80

isso consigo fazer em linux/iptables..

Seria possível fazer a mesma situação no meu Asa 5510?

Obrigado,

Diego

No ASA esse processo é separado, onde temos que permitir o tráfego (ACL) e fazer o redirecionamento (NAT).

Supondo que a access-list que está aplica a interface outside (WAN) chame aclout:

ACL:
access-list aclout extended permit tcp any host IP_VALIDO eq http
access-list aclout extended permit tcp host 200.200.200.200 host IP_VALIDO2 eq http

NAT:
static (inside,outside) tcp IP_VALIDO www servidor_1 www netmask 255.255.255.255
static (inside,outside) tcp IP_VALIDO2 www servidor_2 www netmask 255.255.255.255

Observe QUE NÃO É POSSÍVEL FAZER NAT DE UM IP VALIDO PARA DOIS SERVIDORES NA MESMA PORTA.
Neste caso você precisa publicar cada servidor em um IP valido.


www.brainwork.com.br/qa

Oi Andrei, obrigado pela dica.

Voce entende, que esta funcionalidade que o ASA nao tem é de grande importância?

Fiquei sabendo que numa nova versão do IOS do ASA foi implementado alguma melhoria. Nao sei se é verdade realmente.

Voce chegou a ver algo sobre isso?

Abs e obrigado pela ajuda.

Diego

Concordo que seria bom, assim como suporte a dois link com balanceamento (que também não é suportado).

De fato a Cisco vem preparando o terreno para implantar essas funcionalidades, com mudanças na sintaxe de NAT, porém hoje ainda não temos nada neste sentido.

Legal Andrei, obrigado pelos esclarecimentos.

Sobre esse ponto do balanceamento, você quer dizer o BGP, ou algo como? Seria algo como mundo externo conectando no meu IP_VALIDO, certo? sendo que tenho 3 links de operadoras diferentes como gateway de internet, e a função do BGP vai depender destas operadoras poderem fazer isso. Se as operadoras fazendo isso, ainda tenho que configurar algo no ASA? (isso to dando um exemplo) ou vc quis dizer de algo na rede WAN?

Segue um exemplo de uma situação que temos em nível WAN

Aqui temos um problema onde o cliente (com um router 1801) possui dois links, e se um deles cai, o outro assume no mesmo momento, algo como ativo passivo, o tal do IPSLA, e ai usamos access list para dar prioridade para alguns destinos.

Isso está legal, porém a minha volta que é problema. Tenho as rotas no FWL (que nao acho legal, pois ele nao faz o que queremos) e tenho que mudar a rota no FWL para usar o outro link. Nao me adiante ter o IPSLA, se quando cai o link tenho que mudar a rota na mão, digamos que tenho a solução 50%

Ai estamos colocando um 3750, colocar todas as rotas para ele, deixando que o ASA jogue sempre para eles as redes, e ai o 3750 configurado com BGP.

Nao sei se é uma das melhores soluções, pois nosso conhecimento em Cisco acaba sendo limitado, dependendo sempre de terceiros, e sabemos que nem sempre o que els falam é o mais correto, ou a melhor solução né...

O que eu disse foi sobre balanceamento é que o ASA não aceita receber dois links de internet e balancear a saída.

Quanto ao seu cenário, por que mudar a rota no firewall se só tem um roteador na frente dele?
A rota do firewall deveria ser para o roteador e nele você farias as configurações de roteamento (e NAT).

entendi...

entao, iremos mudar esse cenário...

passaremos a ter todas as rotas no roteador, e deixaremos o ASA somente para firewall mesmo...

aplicar o NAT no roteador parece ser uma boa opção..

Vi no seu site ali, que tem um post sobre o IOS checker certo...

ali nao tenho o IOS do meu fwl ASA.. ( 8.2(1) )

sabe se fiz algo de errado?

O IOS Checker é para roteador, switch e AP (aliás não testei com AP), que usam o IOS.

Os firewalls (ASA e PIX) não usam IOS, por isso não apareceu o seu...
A saber:
O ASA usa o ASA OS, e o PIX usa o PIX OS.

vlw.

Legal Andrei, bom saber...

E será que existe alguma ferramenta nesse nível para uso com o ASA?

obrigado

vlw

Tem o Bug Tool Kit, que mostra os bugs.
Para acessar é preciso ter usuário no site da Cisco.
http://tools.cisco.com/Support/BugToolKit/action.do?hdnAction=searchBugs