Конфигурация Cisco PIX 515

Cisco
Наша задача настроить Cisco PIX 515 для типовых задач небольшой офисной сети. В примере будут использоваться следующие настройки: локальная сеть 192.168.1.0 с маской 255.255.255.0, интернет соединение с выделенной подсетью на 8 внешних адресов 200.100.50.56 с маской 255.255.255.248, демилитаризированная зона 172.18.9.1 с маской 255.255.255.0. Демилитаризированная зона это отдельная сеть не связанная с локальной и используемая для публикации внешних ресурсов в интернете, например для www сервера.Так же в нашем примере будет дополнительная сеть связанная с нашей локальной сетью через маршрутизатор.

Схема сети используемой в примере


Конфигурация

PIX Version 7.0(4) 
!
hostname pix-1
domain-name my.ru
enable password ******* encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 200.100.50.62 255.255.255.248 
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.2 255.255.255.0 
!
interface Ethernet2
 nameif dmz
 security-level 50
 ip address 172.18.9.1 255.255.255.0 
!
passwd ******** encrypted
!
time-range Work_Time
 periodic daily 6:00 to 22:59
!
no ftp mode passive
clock timezone msk 3
dns domain-lookup outside
dns domain-lookup inside
dns name-server 192.168.1.60
access-list acl_outside extended permit tcp any host 200.100.50.58 eq www 
access-list acl_outside extended permit tcp any host 200.100.50.58 eq smtp 
access-list acl_outside extended permit tcp any host 200.100.50.58 eq pop3
access-list acl_outside extended permit icmp any any 
access-list acl_outside extended permit tcp any host 200.100.50.59 
access-list NatInsidetoDmz extended permit ip 192.168.1.0 255.255.255.0 192.168.1.0 255.255.255.0 
access-list NatInsidetoDmz extended permit ip 192.168.1.0 255.255.255.0 172.18.9.0 255.255.255.0 
access-list NatInsidetoDmz extended permit ip 172.18.9.0 255.255.255.0 192.168.1.0 255.255.255.0 
access-list acl_dmz extended permit tcp any any 
access-list acl_dmz extended permit icmp any any 
access-list acl_dmz extended permit udp any any 
access-list inside_mpc_in extended permit icmp any any 
access-list inside_mpc_in extended permit tcp host 192.168.1.1 any 
access-list inside_mpc_in extended permit tcp host 192.168.1.4 any 
access-list inside_mpc_in extended permit tcp host 192.168.1.100 any 
access-list inside_mpc_in extended permit ip host 192.168.1.3 any 
access-list snmp_acl extended permit tcp any any eq 161 
access-list snmp_acl extended permit tcp any any eq 162 
!
snmp-map sample_policy
 deny version 1
!
pager lines 24
mtu outside 1500
mtu inside 1500
mtu dmz 1500
icmp permit any echo-reply outside
icmp permit any echo outside
icmp permit any unreachable outside
icmp permit any outside
icmp permit any echo-reply inside
icmp permit any echo inside
icmp permit any unreachable inside
icmp permit any echo-reply dmz
icmp permit any echo dmz
icmp permit any unreachable dmz
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp 200.100.50.58 pop3 192.168.1.1 pop3 netmask 255.255.255.255 
static (inside,outside) tcp 200.100.50.58 smtp 192.168.1.1 smtp netmask 255.255.255.255 
static (inside,outside) tcp 200.100.50.58 ftp-data 192.168.1.4 ftp-data netmask 255.255.255.255 
static (inside,outside) tcp 200.100.50.58 ftp 192.168.1.4 ftp netmask 255.255.255.255 
static (dmz,outside) 200.100.50.59 172.18.9.202 netmask 255.255.255.255 
static (dmz,inside) 200.100.50.59 172.18.9.202 netmask 255.255.255.255 
access-group acl_outside in interface outside
access-group inside_mpc_in in interface inside
access-group acl_dmz in interface dmz
route outside 0.0.0.0 0.0.0.0 200.100.50.57 1
route inside 192.168.3.0 255.255.255.0 192.168.1.5 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
username admin password ********* encrypted
aaa authentication ssh console LOCAL 
aaa authentication http console LOCAL 
aaa authentication enable console LOCAL 
snmp-server host inside 192.168.1.190 community pix_tesv udp-port 161
snmp-server location inside
snmp-server community pix_tesv
snmp-server enable traps snmp linkup linkdown coldstart
snmp-server enable traps syslog
snmp-server enable traps ipsec start stop
telnet timeout 5
ssh 192.168.1.0 255.255.255.0 inside
ssh timeout 30
console timeout 0
management-access inside
!
class-map snmp_port
 match access-list snmp_acl
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map global_policy
 class inspection_default
  inspect ftp 
  inspect icmp 
  inspect http 
  inspect dns maximum-length 512 
  inspect tftp 
  inspect sqlnet 
  inspect xdmcp 
  inspect rsh 
  inspect esmtp 
  inspect sip 
  inspect rtsp 
  inspect skinny 
  inspect pptp 
  inspect mgcp 
  inspect h323 h225 
  inspect h323 ras 
policy-map sample_policy
 class snmp_port
  inspect snmp sample_policy 
!
service-policy global_policy global
service-policy sample_policy interface outside


Итак, в итоге мы получили:
1. www сервер в dmz зоне, его адрес 200.100.50.59
2. почтовый сервер 192.168.1.1 доступный и сети интернет по адресу 200.100.50.58
3. FTP сервер 192.168.1.4 доступный и сети интернет по адресу 200.100.50.58
4. Полный доступ к интернет для ПК 192.168.1.100

Я специально использовал в примере большое количество дополнительных команд, которые возможно не нужны большинству пользователей, но у меня без них не работали некоторые сервисы. Например для работы ftp потребовалось:
policy-map global_policy
 class inspection_default
  inspect ftp


Для работы ping нужно было
icmp permit any echo-reply outside
icmp permit any echo outside
icmp permit any unreachable outside
icmp permit any outside
icmp permit any echo-reply inside
icmp permit any echo inside
icmp permit any unreachable inside
icmp permit any echo-reply dmz
icmp permit any echo dmz
icmp permit any unreachable dmz


Пришлось искать по каждой проблеме отдельное решение. Надеюсь эта статья поможет кому-то разобраться с особенностями настройки сетевых экранов PIX и ASA.

Есть вопросы, пишите в комментариях.

0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.