Open in app

Sign in

Write

Sign in

Cisco Firepower Threat Defense — NAT Parte 2

Fernando Mantovani Pierobon
TechRebels
Published in
3 min readOct 12, 2020

Fala pessoal, tudo blz? Continuando nossa conversa sobre NAT, é agora que a coisa fica legal :D

Essa é nossa topologia (idem do artigo anterior). Faremos um NAT da DMZ para a Internet. Observem apenas esses dois eqtos na figura abaixo.

Agora vejam a configuração de rotas do router da DMZ: apenas localmente conectadas. Não há rota estática.

E agora para o router da Internet, idem.

Temos então um firewall interligando a rede DMZ e a rede Internet que não sabem como chegar um no outro.

Nosso objetivo prático é da DMZ dar um telnet no router Internet.

Vamos criar uma regra de Manual NAT, que iniciamos a falar dela no artigo anterior (aqui), com origem da DMZ para a Internet e iremos manipular o tráfego dessa forma:

O IP Real do router de Internet é 200.200.200.10, então, à partir do router da DMZ, vamos tratar o pacote original.

Da DMZ nossa origem é o 192.168.0.10 e o destino não pode ser na rede 200, já que não conhecemos essa rede. Então, o destino será um novo IP, o 192.168.0.9 — aqui o firewall faz proxy-arp desse IP nessa interface (no caso a DMZ). De forma básica, à partir desse momento o IP .9 “começa a exitir” na rede e quem responde por ele é o firewall.

Após o pacote atravessar o Firepower, o IP que antes era 192.168.0.10, irá virar 200.200.200.9 (essa parte é como um NAT tradicional de origem, ou Auto NAT pra nós da Cisco), e o destino do pacote, ao invés de 192.168.0.9, será o 200.200.200.10.

Feito o deploy da política, vamos testar. À partir do router da DMZ, vejam:

Nós demos telnet no IP 192.168.0.9 e, ao atravessarmos o firewall, nós chegamos no IP 200.200.200.10 com o IP 200.200.200.9

De forma prática, esse desenho ilustra o que aconteceu.

Finalmente, apenas para verificação, vejam os MAC-ADDRESSES de cada um dos IPs envolvidos. A telinha preta no fundo é o SSH do firewall e o IP e MAC das duas interfaces envolvidas. Reparem nos MACs dos IPs nos dois switches ;)

Um abraço e até a próxima (talvez retomemos com ISE uhuhuhuhu).

Se você gostou, deixa seu “claps” aí do lado esquerdo e compartilhe nos seus grupos. Você também pode me seguir e a TechRebels!

Sobre o autor:

Fernando Mantovani Pierobon trabalha há 18 anos na área de TI sendo 14 com segurança da tecnologia da informação.

É formado em Ciências da Computação e CCIE Security #63268.

https://www.linkedin.com/in/fernandomantovani/

Cisco
Segurança
Nat
Security
Firepower

--

--

Fernando Mantovani Pierobon
TechRebels

Written by Fernando Mantovani Pierobon

75 Followers
Writer for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams