阻止通过执行 NAT 转换的 ASA 防火墙的出口流量的私有地址

网络工程 思科-ASA 纳特 私有vlan
2022-02-28 02:01:38

我正在完成一个实验室,并被告知我应该始终阻止来自私有地址范围的 Egress 流量。

ASA 执行私有 IP 到分配给“外部”接口的公共 IP 地址的 NAT 转换,因此这会得到处理,不是吗?

在哪种情况下,源 IP 可以包含私有地址?我假设只有在没有 NAT 转换发生的情况下?

我可以通过使用 IP 欺骗以某种方式通过 ASA NAT 转换吗?当然,如果 ASA 正在对公共 IP 执行 NAT 转换,除非我们希望隐藏恶意用户的内部 IP 地址,以便返回的流量相信它来自不同的机器,否则这并没有任何好处?

1个回答

即使您的 ISP 应该这样做,您通常也会在入口处阻止您的私有地址范围。假设您正在进行出口过滤(您应该这样做),您将允许您的私有范围在内部接口上通过,然后在出路时通过 NAT。

例如,您有以下网络使用 192.168.1.0/24

互联网 ---- ASA ----- 内部网络

在内部接口上,您将允许 192.168.1.0/24 在内部接口上入站。然后在外部接口上 NAT 到您的公共地址。这将允许您的内部主机与外部通信。在入口帮助上阻止私有地址范围将防止欺骗您的内部主机。

其它你可能感兴趣的问题
上一篇Cisco 4948 - 组播路由 下一篇如何使 Web 应用程序运行得与直接通过服务器运行时一样快?