·      10.0.0.0 até 10.255.255.255;

·      172.16.0.0 até 172.31.255.255;

·      192.168.0.0 até 192.168.255.255.

    O ASA suporta tanto NAT, que provê um único endereço global para cada host, quanto PAT (Port Address Translation), que provê um único endereço global para até 64000 conexões simultâneas, somando tráfego de entrada e de saída. Para facilitar o entendimento, NAT define um mapeamento 1:1 (um para um), ou seja, um endereço local apontando para um endereço global; PAT define um mapeamento N:1 (muitos para um), ou seja, muitos endereços locais para um endereço global

    Os endereços utilizados para traduções NAT vêm de pools de endereços especificamente utilizados para esta função e o endereço utilizado para traduções PAT pode ser tanto um endereço global quanto o endereço atribuído à interface do equipamento. Quando um pacote passa pelo firewall com NAT/PAT configurado, a seguinte seqüência de eventos ocorre:

·      O pacote chega à interface de entrada;

·      O equipamento verifica o pacote contra a ACL de entrada;

·      Se o pacote é permitido, o equipamento consulta a tabela de roteamento para determinar a interface física de saída;

·      Se a tradução de endereço está habilitada e o pacote combina com o critério de seleção, o equipamento cria uma entrada na tabela NAT para aquela conexão;

·      O equipamento cria uma entrada na tabela de estado da conexão (stateful);

·      O pacote é roteado para a interface de saída e verificado contra a ACL de saída;

·      Se permitido, o pacote é transmitido.

    Basicamente existem dois tipos de regras que podem ser criadas: regras dinâmicas e estáticas. As regras dinâmicas podem ser tanto de NAT como de PAT e, como o nome diz, são traduções criadas dinamicamente. Este tipo de regra é comumente utilizado para traduções de endereços locais privados para endereços globais válidos, ou seja, endereços que podem ser roteados pela Internet. Regras estáticas, que também podem ser de NAT e PAT, são regras que mapeiam permanentemente um endereço interno para um endereço global e este tipo de regra se aplica a situações onde é necessário acesso externo a um servidor interno. Com a combinação de NAT, PAT, regra dinâmica e regra estática, existem as seguintes possibilidades de configuração:

·      NAT Dinâmico – este tipo de NAT traduz um grupo de endereços reais para um conjunto (pool) de endereços mapeados que são roteados na rede de destino. Quando um host interno acessa a rede de destino, o equipamento assinala a ele um endereço do conjunto de endereços mapeados e esta associação é mantida enquanto a conexão é ativa e é encerrada quando o tempo expira (ver timeout xlate). Este tipo de NAT só funciona quando o host interno inicia a conexão, impedindo que hosts externos consigam estabelecer uma conexão, mesmo que exista uma ACL permitindo tal tráfego. O conjunto de endereços mapeados pode possuir menos endereços do que a quantidade de endereços reais existentes, mas isto pode ser um problema caso a quantidade de conexões seja alta, sendo recomendado o uso de PAT nesta situação.

·      NAT Estático – regras deste tipo criam uma associação fixa entre o endereço real e o endereço mapeado e desta forma é possível que um host externo inicie uma conexão com o host interno, mas somente se houver uma ACL permitindo este tráfego.

·      PAT Dinâmico – também conhecido somente por PAT, este tipo de regra traduz múltiplos endereços reais para um único endereço mapeado, sendo permitido o uso do endereço atribuído à interface do equipamento. Mais especificamente, o equipamento cria uma associação entre endereço e porta de origem real com o endereço e porta mapeados (acima de 1024). Para cada conexão existente é criada uma associação, que expira após 30 segundos de inatividade (parâmetro não configurável). Como no NAT dinâmico, um host externo não consegue iniciar uma conexão com um host interno, mesmo com a permissão de uma ACL.

·      PAT Estático – praticamente funciona da mesma forma que o NAT estático, com exceção de que é possível determinar o protocolo de transporte (TCP ou UDP), a porta real e a porta mapeada. Com isto, é possível criar várias entradas estáticas utilizando um único endereço mapeado, que são diferenciadas pelas portas e permitir acesso externo aos servidores internos, como é apresentado na Figura 1. Neste exemplo, o endereço mapeado 209.165.201.3 é utilizado para acesso aos servidores FTP, HTTP e SMTP, sendo utilizadas as portas destes protocolos (21, 80 e 25, respectivamente) para a correta associação.

Figura 1: Esquema de funcionamento do PAT estático.

    Os tipos de regras vistos até agora somente permitem especificar os endereços reais (origem) e os endereços mapeados. O ASA ainda permite a configuração de Policy NAT, onde é possível determinar, além dos endereços reais e mapeados, os endereços (NAT) e portas (PAT) de destino do tráfego e com isto, poder atribuir endereços mapeados em função destas novas variáveis. No exemplo mostrado na Figura 2, o host interno 10.1.2.27 ao se comunicar com o host externo 209.165.201.11, tem seu endereço traduzido para 209.165.202.129; já para se comunicar com o host externo 209.165.200.225 o host interno utiliza o endereço mapeado 209.165.202.130.

Figura 2: Esquema de funcionamento do Policy NAT.

    Em alguns casos, como em túneis VPN, o uso de traduções de endereço não é conveniente. Para isto existem regras do tipo NAT exemption, que são como regras de Policy NAT, onde é possível determinar a origem e o destino do tráfego que será encaminhado sem alterações de endereçamento.

    É importante conhecer a ordem em que as regras de NAT são processadas no equipamento, uma vez que encontrada uma combinação com uma regra, as demais não são mais verificadas. A seqüência de verificação das regras é:

1.  NAT exemption;

2.  NAT e PAT estático;

3.  Policy NAT dinâmico;

4.  NAT dinâmico normal.