IPv4 tabanlı networkümüzde private ip’ye sahip hostlarımızı internet tarafından belirli portlardan gelen istekler için erişilebilir hale getirmek istiyorsak nat ile port forwarding tekniğini kullanabiliriz.Mesela DMZ bölgesinde bulunan server’lerimizi (örn. webserver,ftp server vb.) gerçek dünyaya yayınlamak istiyorsak bu tekniği kullanabiliriz.Önce source interface ve destination interface belirttikten sonra ip adreslerimizi belirtirken, önce destination (global) ip adresini ve portunu daha sonra ise, source (private) ip ve port belirtilerek yapılandırma tamamlanmaktadır.
static (inside,ourside) tcp 192.168.1.100 80 10.0.1.10 80 netmask 255.255.255.255 tcp 0 0 udp 0 norandomseq
Satır sonunda bulunan “tcp 0” ve “udp 0” bu protokoller için bağlantı limitlerinin sınırsız olduğu anlamına gelmektedir ve opsiyonel olarak eklenebilir.Ortada tek olarak duran “0” ise “embryonic” (half-open) yani tcp için “3-way-handshake” işlemini tamamlamamış kaç adet bağlantıya izin vereceğimizi burada belirtebilmekteyiz.Syn flood ataklarını engellemek için, networkümüzde gerekli analizler yapıldıktan sonra bu sayı limitlendirimelidir.Komutun en son kısmındaki norandomseq ise ASA’nın üzerinde default’ta security amaçlı açık olan “tcp sequence number randomization” özellğini bu nat kuralı için pasif hale getirmektedir.Bu özelliği pasif yapmaktaki amacımız bazı uygulamaların iletişiminde sıkıntı yaşamamak içindir.
show xlate komutu ile nat translation table içerisindeki statik ve dinamik girdilerin gözükmesi sağlanabilir.
clear xlate komutu ise translation table’daki tüm dinamik ve yapılandırması kaldırılmış static natları temizlemeye yarar fakat bu çoğu zaman aktif networklerde sıkıntı çıkaracaktır.Eğer biz yalnızca istediğimiz girdiyi translation table içerisinden kaldırmak istiyorsak aşağıdaki komutu kullanabiliriz.
clear xlate interface inside global 192.168.1.100 netmask 255.255.255.255 gport 80
Son olarak “outside” interface üzerine “in” yönünde “any” ‘den 192.168.1.100 ip adresine tcp ile “80” portuna gelişine izin veren bir access rule yazmamız gerekecektir, aksi takdirde yayınladığımız porta kimse ulaşamaz.
