NAT Policy FTD
Ada 3 tipe NAT yang akan dikonfigurasi baik pada semua Cisco Firepower, perlu tidaknya
konfigurasi NAT tersebut ditentukan oleh kebutuhan & konfigurasi existing :
1. Dynamic NAT & NAT Overload (PAT)
Dynamic NAT akan menerjemahkan secara dinamis sekumpulan IP Private menjadisekumpulan IP Public (many-to-many). Jadi, ketika ada sebuah host dari jaringan local inginmengirim atau menerima packet, router akan memilih salah satu IP yang tersedia dan tidak sedang digunakan.
Untuk melakukan konfigurasi Dynamic NAT, tentukan dahulu Source & Destination Interfacedari traffic yang akan dilakukan NAT.
Gambar 1 Dynamic NAT
Pada bagian Translation, tentukan souce Object Network dan Translated Source nya. Gambar dibawah menunjukkan, Network Segment 192.168.10.0 akan di NAT menjadi 172.171.0.0.
Gambar 2 Dynamic NAT
Untuk melakukan konfigurasi PAT / NAT Overload, pertama tentukan juga Source & Dest Interface dari traffic yang akan di NAT.
Gambar 3 NAT Overload
Perbedaan dari Dynamic NAT biasa adalah kita cukup mendefinisikan translated sourcenya ke Destination Interface IP, sehingga semua IP akan di translasi ke IP dari Interface outside Cisco FTD (many-to-one) maka dari itu PAT sangat cocok digunakan untuk memberikan akses Internet ke user karena tidak membutuhkan IP address Public yang banyak.
Gambar 4 NAT Overload
2. NAT Exemption
NAT Exemption digunakan untuk melakukan pengecualian NAT sehingga trafik-trafik yang
ditentukan tidak dilakukan translasi oleh FTD. Langkah pertama adalah tentukan Source &
Dest Interface dari trafik yang tidak ingin dilakukan Translasi.
Pada bagian translation, konfigurasi Source & Dest Object yang sama pada Original Packet & Translated Packet.
Gambar 6 NAT Exemption
Aktifkan pilihan “Perform Route Lookup for Destination Interface” sehingga FTD akan menentukan egress interface dengan melakukan Route lookup ke routing table.
Gambar 7 NAT Exemption
3. Static NAT
Static NAT digunakan untuk melakukan translasi specific dari sumber dan tujuan tertentu. Biasa digunakan agar server-server yang berada di DMZ dapat diakses dari Public Network. Static NAT dapat digunakan untuk melakukan translasi Port yang biasa kita sebut Port Forwading. Langkah pertama, tentukan Src & Dst dari trafik yang akan di translasi.
Gambar 8 Static NAT
Definisikan Original Destination & Translated Destination, contoh gambar dibawah jika ada trafik menuju IP Interface Outside FTD, maka akan di-NAT ke Host dengan IP Address 192.168.1.1.
Untuk melakukan Port Forwarding, definisikan Original Destination Port & Translated Destination Portnya, Original Dst Port adalah 8888 maka akan di-translasi menjadi Port 80.
Gambar 10 Static NAT
