ASA防火墙应用配置（NAT和PAT）

                                         实验配置ASA应用（NAT和PAT）

inisde区域是内部，ip地址192.168.1.1网关，outside区域是外部，也就是公网12.0.0.0网段，DMZ区域是隔离区，ip地址192.168.10.1

C3是server2008服务器并且提供WEB网站，IP地址13.0.0.2，网关13.0.0.1，虚拟机网卡绑定VMnet1

C2是linux服务器并且提供APACHE服务，ip地址192.168.10.10，网关192.168.10.1，虚拟机网卡绑定VMnet2

C1是内部的主机ip地址是192.168.1.2，网关192.168.1.1，宿主机网卡是Loopback（回环网卡），并且DNS指向13.0.0.2

实验步骤：

1.首先我搭建server2008服务器的web（网站为accp.com）

设置网卡，以及ip地址

这里DNS指向自己目的是为了解析，在server2008服务器上搭建DNS并且创建区域，地址指向Linux服务器

添加角色

先搭建DNS（域名解析）

然后在搭建WEB

测一下WEB

创建两个正向查询区域(下面都是一样)

第一个区域名称benet.com（第二个区域是accp.com,然后下一步，下一步）

a记录（benet.com ip 192.168.10.10）(accp.com ip13.0.0.2)

 

2.搭建linux服务器APACHE服务（网站为benet.com）

首先查看网卡绑定vmnet1,在进入linux图形化界面，点击终端，用ifconfig查看ip地址

 

查看网关

在用vi编辑器配置httpd.conf文件

监听端口

名字改下

主机名修改成sr1

启用httpd服务，并且关闭防火墙

输入ip地址检测下apache

 

3.配置R1和ASA(交换机是二层所以什么都不用配置，在这里pc机是不能直接连asa防火墙，所以加了个二层交换机)

首先配置R1 ip地址和默认路由

配置ASA

首先还是先初始化

然后配置接口名称和ip地址，在配置下接口的安全级别（inside默认100，dmz配下50 ，outside默认为0）

在ASA上配置默认路由

 

然后在宿主机上查看下ip地址并且访问www.benet.com和www.accp.com

4.开启NAT转换（动态）

把内部所有地址转换成outside接口地址，并且查看nat转换表

ping不通13.0.0.2

如果想ping通，配置ACL并且允许ICMP进行穿越

应用入口方向的outside接口上

 

这样就能ping通了

抓个包，查看下nat转换

5.默认C1或者是内部所有地址可以访问任何网段，假如我不想192.168.1.5 通过，那么我就要在inside上配置ACL（在这里我把C1ip改成192.168.1.5）

配置ACL，拒绝ip 192.168.1.5 所有

应用接口inside

在回到宿主上把IP地址改成192.168.1.5，并且访问www.accp.com或者www.benet.com(注意：如果还能访问，清除下DNS缓存，命令为ipconfig /flushdns)

6.C2做个静态NAT（双向通信），映射一个地址为12.0.0.1这个网段，要让C3能够访问C2 DMZ区域，但是C3访问C2不能是C2的原来地址，而是C2映射过后的地址也就是12.0.0.1

配置静态NAT（注意：先配置outside地址12.0.0.3，在配置DMZ地址192.168.10.10）

我想外面可以访问进来，做个策略配置ACL只允许访问我的网站（允许13.0.0.2访问C2映射过后的地址12.0.0.3）并且应用outside接口

在这里注意个问题，一个接口只能应用一个outside，现在外面已经应用了两条，所以现在这条覆盖了access-list 111 ，想要解决，就把ICMP允许所有，这样就能应用这两条ACL访问控制列表

在到Server2008服务器上输入C2的映射过后的地址12.0.0.3

 

               实   验  完  成