ip nat outside
Часто во время работы приходится сталкиваться с проблемами пересечения ip адресов собственной локальной сети и сети организации, с которой нужно взаимодействовать. Как гласят учебники, в таких случаях используется NAT.
Опустим описание базовых настроек dynamic и static NAT, когда нужно замаскировать свой внутренний адрес под какой-то внешний для получения доступа ко внешним ресурсам (dynamic NAT) или же дать возможность заходить на ваши внутренние ресурсы извне (static NAT). Это есть в статьях по базовой настройке маршрутизаторов и Cisco ASA, а также рассмотрено в статье «как использовать NAT».
Подмена адреса назначения
Рассмотрим случай, когда нужно создать специальный подставной вымышленный адрес, при обращении к которому трафик будет идти на нужный настоящий.
10.0.0.5 – настоящий адрес сервера, к которому необходимо получить доступ
1.1.1.1 – вымышленный адрес, при обращении на который пользователь попадет на 10.0.0.5
Для реализации этого сценария на интерфейсах маршрутизатора необходимо указать их принадлежность ко внутренней или внешней сети командами
conf t
interface FastEthernet X
ip nat inside
interface FastEthernet Y
ip nat outside
После чего ввести команду
ip nat outside source static 10.0.0.5 1.1.1.1
Важно!
После создания правила трансляции необходимо добавить маршрут для выдуманного несуществующего адреса в сторону настоящего сервера.
А) если сервер расположен непосредственно за интерфейсом маршрутизатора, то укажите его настоящий адрес в качестве шлюза
ip route 1.1.1.1 255.255.255.255 10.0.0.5
Б) Если конечный сервер располагается дальше по сети за каким-то другим маршрутизатором, то в качестве шлюза укажите адрес этого оборудования (х.х.х.х)
ip route 1.1.1.1 255.255.255.255 x.x.x.x
Проверка работы NAT
Используйте команду sh ip nat translations, чтобы посмотреть активные правила трансляции адресов. Вывод команды должен выглядеть примерно так:
R-DELTACONFIG-1#sh ip nat translations
Pro Inside global Inside local Outside local Outside global
--- --- --- 1.1.1.1 10.0.0.5
--- --- --- 1.1.1.2 10.0.0.6
icmp 192.168.10.10:19662 192.168.10.10:19662 1.1.1.1:19662 10.0.0.5:19662
Подмена адресов назначения и источника одновременно
Описанный выше сценарий не запрещает использовать «обычный» NAT параллельно. Если требуется маскировать настоящий адрес рабочей станции за каким-то внешним, то необходимо создать стандартные правила, например для динамической трансляции.
Допустим, что настоящий адрес рабочей станции 192.168.10.5 (адрес источника) необходимо замаскировать за вымышленным адресом 2.2.2.2
Добавим настройки для динамической трансляции адреса источника:
ip access-list extended ACL_NAT
permit ip host 192.168.10.5 any
ip nat pool NAT 2.2.2.2 2.2.2.2 netmask 255.255.255.0
ip nat inside source list ACL_NAT pool NAT
В итоге изначальный пакет от рабочей станции 192.168.10.5 на адрес 1.1.1.1 после прохождения через маршрутизатор превратится в пакет от адреса 2.2.2.2 к адресу 10.0.0.5
Важно!
Не забудьте проверить маршрутизацию на каждом из устройств вашей сети, если столкнетесь с проблемами. Устройства должны «знать» не только о настоящих адресах, но и о подставных.
Важно!
Не забудьте сохранить конфигурацию всех устройств командой write или copy run start. Иначе после перезагрузки все изменения будут потеряны.
R-MAIN#write
Building configuration...
[OK]