Pular para o conteúdo principal

Secure Firewall - NAT Parte 2

· 3 min para ler
Fernando Mantovani Pierobon
Fernando Mantovani Pierobon
Senior Technical Architect | Cisco Security

Artigo originalmente publicado no medium em Outubro de 2020 pelo mesmo autor. As configurações e exemplos continuam válidos.

Fala pessoal, tudo blz? Continuando nossa conversa sobre NAT, é agora que a coisa fica legal :D

Essa é nossa topologia (idem do artigo anterior). Faremos um NAT da DMZ para a Internet. Observem apenas esses dois eqtos na figura abaixo.

Secure Firewall - EVE Topology

Agora vejam a configuração de rotas do router da DMZ: apenas localmente conectadas. Não há rota estática.

Secure Firewall - Routes

E agora para o router da Internet, idem.

Secure Firewall - Routes

Temos então um firewall interligando a rede DMZ e a rede Internet que não sabem como chegar um no outro.

Nosso objetivo prático é da DMZ dar um telnet no router Internet.

Secure Firewall - NAT

Vamos criar uma regra de Manual NAT, que iniciamos a falar dela no artigo anterior (aqui), com origem da DMZ para a Internet e iremos manipular o tráfego dessa forma:

O IP Real do router de Internet é 200.200.200.10, então, à partir do router da DMZ, vamos tratar o pacote original.

Da DMZ nossa origem é o 192.168.0.10 e o destino não pode ser na rede 200, já que não conhecemos essa rede. Então, o destino será um novo IP, o 192.168.0.9 - aqui o firewall faz proxy-arp desse IP nessa interface (no caso a DMZ). De forma básica, à partir desse momento o IP .9 "começa a exitir" na rede e quem responde por ele é o firewall.

Secure Firewall - NAT

Após o pacote atravessar o Firepower, o IP que antes era 192.168.0.10, irá virar 200.200.200.9 (essa parte é como um NAT tradicional de origem, ou Auto NAT pra nós da Cisco), e o destino do pacote, ao invés de 192.168.0.9, será o 200.200.200.10.

Secure Firewall - NAT

Feito o deploy da política, vamos testar. À partir do router da DMZ, vejam:

Secure Firewall - Ping

Nós demos telnet no IP 192.168.0.9 e, ao atravessarmos o firewall, nós chegamos no IP 200.200.200.10 com o IP 200.200.200.9

De forma prática, esse desenho ilustra o que aconteceu.

Secure Firewall - NAT Desenho

Finalmente, apenas para verificação, vejam os MAC-ADDRESSES de cada um dos IPs envolvidos. A telinha preta no fundo é o SSH do firewall e o IP e MAC das duas interfaces envolvidas. Reparem nos MACs dos IPs nos dois switches ;)

Secure Firewall - ARP

Obrigado por lerem!

Abraços!

Você pode baixar esse artigo em formato PDF no botão abaixo:

Baixar PDF