基于ASA防火墙的NAT地址转换和SSH远程登录实验

实验环境:使用两台linux虚拟机,linux-3是作为外网的apache网站服务器,另外一台linux-1属于内网DMZ(非军事化区域)的apache服务器,再搭建一个DNS服务来解析IP地址。然后客户端使用本地的一个回环网卡进行连接。

实验要求:通过实验在ASA防火墙上进行配置,来证明NAT地址转换和做ACL入站连接。

wKioL1WXMeCCT76DAAIafAofRx4709.jpg

首先是配置交换机和路由器上面的部分,在两台交换机上面只要关闭路由功能就行了。

wKiom1WXMBeBlF5kAACxalnAECI381.jpg

R3路由器上需要做IP地址的配置,以及一条默认路由就OK了。

wKiom1WXMBeyBdCuAAIxN8ehSIQ266.jpg

下面是设置启用防火墙的配置文件。

wKioL1WXMeDBB80qAAC4afjc-_4514.jpg

下面是对于ASA防火墙不能够保存配置文件的操作过程,只要创建一个startup-config配置文件,并运行就行了

wKiom1WXMBeTE-hAAAOBENb3fZI202.jpg

然后是配置各个接口的IP地址,还有DMZ区域的优先级,以及配置一条默认路由。

wKioL1WXMeGw0K9NAAJU7HOsYSc898.jpg

下面就配置两台linux服务器,首先检查是否跟拓扑规划一样连接VMnet1或者说是仅主机模式。

wKioL1WXMeGDCTWKAAJrq6SRC9Q498.jpg

然后是查看linux-3IP地址配置。

wKiom1WXMBjTF49yAAFMOnJwewQ553.jpg

然后开启httpd的服务,并编辑配置网站的默认网页。

wKioL1WXMeLAFVihAAGHvp7rdi0121.jpg

下面是自测的结果,并指定DNS地址

wKiom1WXMBnBG__sAAMAraTBRYc556.jpg

下面配置另外一台linux-1,下面是连接模式VMnet8

wKiom1WXMBmwccCjAAKAtGNjHmg154.jpg

下面是linux-1IP地址配置,也要注意网关地址。

wKioL1WXMeLiu2WmAAJldmJssFc085.jpg

下面同样是启用httpd服务,并编辑默认网站的网页内容。

wKiom1WXMBnQ_lx9AAGG24zJKd4320.jpg

此时也可以输入IP地址进行一下自测apache服务的

wKioL1WXMeOwJNtXAADXK-thnC8129.jpg

然后安装DNS域名解析服务(具体配置略)结果验证如下,特别需要注意的是配置两个区域的配置文件以及主机A记录文件。

wKiom1WXMBrQL50xAALQTLwTyD4427.jpg

下面是DNS的配置结果,能够使用host解析就说明OK了。注意主机A记录中的配置文件。

wKioL1WXMeSDF7U1AAOPDuZ2_js194.jpg

现在检查VMnet1虚拟网卡配置、VMnet8虚拟网卡配置,都设置为自动获取就行。下面是本地连接2网卡的IP地址配置,并指定DNS地址。

wKiom1WXMBuC99UYAAUwTk-nkE8852.jpg

在客户机上测试是否可以正常访问网站,ping是不通的,因为ICMP是非动态化协议。

wKioL1WXMeTQWLl1AAF27601vhA440.jpg

或者使用域名的形式进行访问。

wKioL1WXMeSAgU7sAAF6IQKFMOM359.jpg

设置NAT地址转换以及在outside区域和DMZ区域应用,并设置ICMP入站连接。

wKiom1WXMBvgaRHVAAIXwdRmFlc065.jpg

下面是ping两台服务器的结果(之前没有应用在DMZ区域)。

wKioL1WXMeXBJFIrAAM5H6cQXn4058.jpg

下面为了具体验证NAT结果,可以使用wireshark抓包软件进行抓包验证,选择抓R3上面的f0/1端口。

wKiom1WXMBygCKgIAAGnF05ZKP0213.jpg

打开之后输入ICMP,然后再使用命令ping其他主机,如果没有转换源地址是192.168.10.2,但是转换之后的IP地址是12.0.0.2(因为抓的是R3f0/1端口)。

wKioL1WXMebxXTMMAAbrYrmX0I8378.jpg

下面通过ACL语句来设置允许、拒绝内网IP地址的访问。

wKiom1WXMBzRsRvrAAEF3Tuzih8176.jpg

下面这条命令是刷新缓存的作用。

wKiom1WXMB3z9PRvAAEp4jwfWLE829.jpg

web网站上清除缓存的过程,点击设置,然后点击删除历史记录就行了。

wKioL1WXMebw7wLoAASbrnZ5eQ4659.jpg

下面再次进行访问无论是IP地址或者域名都不能够访问web网站。

wKiom1WXMB3DiQ1FAAIXr9qBeyQ284.jpg

下面是设置静态NAT的转换方式,并设置ACL语句允许入站连接,也就是回来时的转换过程,应用在outside接口。

wKioL1WXMefgqf1sAAGdKpm7bKo294.jpg

下面是设置telnet远程登录的方式,或者SSH加密登陆方式。

wKioL1WXMefgkHNhAAI1ArszyZc063.jpg

下面是telnet登陆的过程。

wKiom1WXMB6RNI0WAAEkEWaUUG8512.jpg

下面是SSH登陆的方式,pixASA防火墙的默认用户名。

wKiom1WXMB7gL01sAALmvXB2Tys803.jpg

wKioL1WXMeiAjvzhAAGQcyZApQk924.jpg

OK!实验完成!实验总结:特别需要注意的是DNS中的配置。如果访问结果不对,需要多清空几下缓存再进行访问。抓包的时候需要注意要抓R3路由器上面的端口。写的不易,请大家支持!

 

你可能感兴趣的:(ASA防火墙,NAT地址转换,PAT地址转换,远程SSH和Telnet登陆,ACL语句)