Utilizando os comandos nat, global, static, conduit, e access-list e Redirecionamento (Encaminhamento) de Porta em PIX

Documentos relacionados
Configurando o Network Address Translation: Introdução

PIX/ASA 7.x: Mova Redirection(Forwarding) com nat, o global, estática e comandos access-list

Exemplo de Configuração de BGP com Dois Provedores de Serviço Diferentes (Hospedagem Múltipla)

Configurando ACLs de IP Comumente Utilizadas

Listas de controle de acesso e fragmentos IP

Gateway de voz SPA8800 adicionado a um exemplo de configuração da solução da edição 3000 do negócio de Cisco

Redistribua redes conectadas no OSPF com palavras-chave de subrede

Matriz de Compatibilidade de Segurança da Camada 2 e Camada 3 do Controller de LAN Wireless

DESVENDADO O TCP/IP. Prof. Me. Hélio Esperidião

ASA 7.x/PIX 6.x e acima: Aberto/bloco o exemplo de configuração das portas

Exemplo de configuração para remoção de números AS privados em BGP

Configurando ACLs de IP mais utilizados

Filtros VPN no exemplo da configuração ASA Cisco

PIX/ASA 7.x e FWSM: Indicações NAT e de PANCADINHA

Edições da característica do CallerID do CallManager

Seleção de Rotas nos Roteadores Cisco

Configurando o NAT Estático e o NAT Dinâmico Simultaneamente

Aula 09 Firewall (Configuração) Prof. Roitier Campos Gonçalves

Exemplo de configuração forçado dos códigos de autorização (FAC)

Automatizando o mapeamento de unidade da parte DESKTOP_CFG no Cisco Agent Desktop para o IPCC expresso

Use o NAT para esconder o endereço IP real do ONS15454 para estabelecer uma sessão CTC

CRE: Abastecimento da conta para virtual, hospedado, e o exemplo de configuração do hardware ESA

Gerenciamento de dispositivos móveis

A instalação da vantagem VT em um PC

Configurando a tradução de endereço de rede: Introdução

Scripts de Windows GPO e Interoperabilidade de Cisco NAC

Utilização de Números de Porta FTP Não- Padrão com NAT

Laboratório Wireshark ARP/ICMP 1

Transferência, instalação e matriz compatível JRE com o CTC para o ONS15454 e os 15327

Cisco IPS seguros - Alarmes de falso positivo

Atualizações de Software Guia do Usuário

Manual de configuração móvel do IPv6 do proxy do Cisco Wireless

Atualização de Software Guia do Usuário

Usando o Cisco IOS Firewall para permitir Java applets dos locais conhecidos ao negar outro

Linux Essentials. Network Configuration

Para ser usado com aplicativos ativados para scanner/leitor de Código QR

Pratica de Arquitetura DMZ. Cisco ASA 5505

ANEXO: Como conectar a rede

Normas de Utilização dos Recursos Computacionais

Pesquise defeitos o erro incapaz de conectar ao server da Voz em um servidor de unidade

CCNA 2 Conceitos Básicos de Roteadores e Roteamento

Reconstruindo as entradas multicast com CGMP e alterações na topologia de árvore de abrangência

Configurando o RAIO do funk para autenticar clientes do Cisco Wireless com PULO

Seleção de Rota em Cisco Routers

ASA 8.2: Redirecionamento de porta (transmissão) com nat, o global, o estático, e comandos access-list que usam o ASDM

INTERNET GROUP MANAGEMENT PROTOCOL - IGMP

Exemplo de configuração do cabo do console ASR5000

Qualificação de placas Ethernet para monitoração do Cisco Agent Desktop

Conexões de permissão PPTP/L2TP com o PIX/ASA/FWSM

Entendendo e configurando redundância de VIP e interface no CSS 11000

Buffer Trabalhos MAC Binary PS Buffer de Rede Configuração de Rede <x> Modo NPA Comutação p/ PCL Configuração p/ PS

Utilizando NAT em redes sobrepostas

FormaçãoIPv6-Maputo. Transição Maputo 28 de Agosto de 2008 Carlos Friaças e Pedro Lorga

Configurando replicação no Cisco Secure ACS para Windows

Configurando a tradução de endereço de rede: Getting Started

Tráfego voip do punho com o PIX Firewall

Atualizações de Software Guia do Usuário

ASA 8.3: Estabeleça e pesquise defeitos a Conectividade através do dispositivo do Cisco Security

Configurar um server público com Cisco ASDM

Lojamundi Tecnologia Sem Limites br

Guia de Instalação do "AirPrint"

Importe COBRAS à conexão de unidade 8.5 do exemplo de configuração do Unity 5.x

Procedimentos para configuração do DWL-2100AP em modo Access Point

IPSec/GRE com o NAT no exemplo de configuração do IOS Router

SISTEMA OPERACIONAL - ios

Atividades de Treinamento. Carregando programas na família GTI100. HI Tecnologia Indústria e Comércio Ltda. Documento de acesso Público

Elementos básico de uma rede Samba - Local Master Browser

Laboratório nº 5 FUNCIONAMENTO DO ADDRESS RESOLUTION PROTOCOL

Configuração de Tradução de Endereço de Rede e Tradução de Endereço de Porta Estática para Suportar um Servidor Interno de Web

Como Evitar Loops de Roteamento ao Usar NAT Dinâmico

CONFIGURAÇÃO PARA ACESSO AOS S EM DISPOSITIVOS MÓVEIS

Configuração de exemplo utsando o comando ip nat outside source static

MANUAL DO SISTEMA TRT-5 PRESTADOR MÉDICO

SEGURANÇA APLICADA MATERIAL 19

Configurando a Classe de Restrições (COR)

Configuração do IPv6 da amostra para o BGP com os dois provedores de serviços diferentes (hospedagem múltipla)

ASA/PIX 7.X: Desabilite a inspeção global do padrão e permita a inspeção de aplicativo nãopadrão

Balanceamento de Carga de NAT no IOS para Duas Conexões de ISP

Introdução ao roteamento

Estabelecendo um feriado para o Cisco Unity

FWSM: Pesquise defeitos o tráfego falhas devido para lesar xlates

COLOR LASERJET ENTERPRISE CM4540 SÉRIE MFP. Guia de instalação do software

PIX/ASA 7.x e later/fwsm: Ajuste o timeout de conexão SSH/Telnet/HTTP usando o exemplo da configuração MPF

Referência da Tarefa de Comunicação do Sametime

Guia de Instalação do "AirPrint"

PIX/ASA 7.x e IOS: Fragmentação de VPN

Laboratório - Uso do CLI IOS com tabelas de endereços MAC do switch

Restaure os 500 Series Switch expressos do catalizador às configurações padrão de fábrica

TUTORIAL DO SISTEMA CE MERCANTE

Arquitetura TCP/IP. Apresentado por: Ricardo Quintão

Painel Gráfico No-Break Conception Multi Ativo Innovation

Modem e rede local Guia do usuário

1 Como configurar uma conexão sem fio (Wi-Fi)

Tabela de banco de dados CRS da exportação - Server de Microsoft SQL2000

VPN do TCE para WINDOWS 1. Instalação. 3. Na janela Choose Setup Type, clique no botão VPN Only e então clique em Next.

Conexão de um Terminal à Porta de Console dos Switches Catalyst

Keepalives de Túneis GRE

Autenticação do proxy de autenticação de partida - Nenhuma Cisco IOS Firewall ou configuração de NAT

Administração de Sistemas Operacionais. Prof.: Marlon Marcon

Transcrição:

Utilizando os comandos nat, global, static, conduit, e access-list e Redirecionamento (Encaminhamento) de Porta em PIX Índice Introdução Pré-requisitos Requisitos Componentes Usados Convenções Diagrama de rede Configuração Inicial Permitir Acesso Externo Permissão de Acesso de Alguns Hosts Internos a Redes Externas Permissão de Acesso de Hosts Internos Remanescentes a Redes Externas Permissão de Acesso de Hosts Internos a DMZ sem Conversão Restrição de Acesso de Hosts Internos a Redes Externas Permissão de Acesso de Hosts Não Confiáveis na sua Rede Confiável Uso de Canalizadores em Versões do Software PIX 4.4.5 e Superior Uso de ACLs em Versões do Software PIX 5.0.1 e Superior Desabilitar NAT Redirecionamento (Encaminhamento) de Porta com Estática Diagrama de Rede - Redirecionamento (Encaminhamento) de Porta Configuração PIX Parcial - Redirecionamento (Encaminhamento) de Porta NAT Externo Diagrama de Rede - NAT Externo Configuração de PIX Parcial NAT Externo Solução de Problemas Informações a Serem Coletadas se um Caso de TAC for Aberto Informações Relacionadas Introdução Para maximizar a segurança ao implementar o Cisco Secure PIX Firewall, é importante entender o modo como os pacotes são transferidos de/para interfaces de segurança superiores, a partir das interfaces de segurança inferiores, usando os comandos nat, global, static e conduit ou os comandos access-list e access-group das versões 5.0 e superiores do software PIX. Este documento explica as diferenças entre esses comandos e como configurar o redirecionamento (encaminhamento) da porta no software PIX versão 6.0 e o recurso externo NAT (Network Address Translation) adicionado no software PIX versão 6. Pré-requisitos Requisitos Não existem requisitos específicos para este documento. Componentes Usados As informações neste documento se baseiam nas versões de software a seguir: Software Cisco Secure PIX Firewall versões 4.4.5 e posterior As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração vazia (padrão). Se a sua rede estiver ativa, certifique-se de entender o impacto potencial de todos os comandos. Convenções

Consulte Convenções de Dicas Técnicas da Cisco para obter mais informações sobre as convenções de documentos. Diagrama de rede Configuração Inicial Os nome das interfaces são: nameif ethernet0 outside security0 nameif ethernet1 dentro da security100 Permitir Acesso Externo O acesso externo descreve as conexões de um nível de segurança de interface mais alto para um nível mais baixo. Isso inclui conexões de dentro para fora, dentro de DMZs (Zonas Desmilitarizadas) e de DMZs para fora. Esse acesso também pode incluir conexões de um DMZ para outro, desde que a interface da origem da conexão tenha um nível de segurança mais alto que a interface do destino. Para confirmar isso, analise a configuração "nameif" no PIX. Existem duas políticas exigidas para permitir acesso externo. A primeira é um método de conversão. Essa conversão pode ser uma conversão estática que utiliza o comando static ou uma conversão dinâmica que utiliza uma regra global/nat. O outro requisito de acesso externo se aplicará se houver uma Lista de controle de acesso (ACL) presente, o que gerará a necessidade de permitir o acesso do host de origem ao host de destino por meio do protocolo e da porta específicos. Por padrão, não há restrições de acesso às conexões externas por meio do PIX. Isso significa que, se não houver ACL configurada para a interface de origem, por padrão, a conexão externa terá permissão se houver um método de conversão configurado. Estas seções fornecem exemplos de configurações no método de conversão e no método de restrição de acesso externo com o uso de uma ACL. Permissão de Acesso de Alguns Hosts Internos a Redes Externas Esta configuração fornece acesso externo a todos os hosts na subrede 10.6.0/24. Os comandos nat e global devem ser usados para realizar isso: Define o grupo interno a ser incluído para NAT. nat (inside) 1 10.6.0 255.255.255.0 Especificar um pool de endereços na interface externa para o qual os hosts definidos na instrução NAT são traduzidos. global (outside) 1 175.3-175.64 netmask 255.255.255.0 Agora os hosts internos podem acessar as redes externas. Quando hosts internos iniciam uma conexão com o exterior, eles são convertidos em um endereço do pool global. Observe que os endereços são atribuídos a partir do pool global com base no primeiro que chega e no primeiro que é

convertido, começando pelo endereço na posição mais inferior desse pool. Por exemplo, se o host 10.6.25 for o primeiro a iniciar uma conexão externa, ele recebe o endereço 175.3. O próximo host recebe 175.4 e assim por diante. Esta conversão não é estática e expira após um período de inatividade definido pelo comando timeout xlate hh:mm:ss. Permissão de Acesso de Hosts Internos Remanescentes a Redes Externas O problema é que há mais hosts internos do que endereços externos. Para permitir que todos os hosts tenham acesso externo, utilizamos a port address translation (PAT). Se um endereço for especificado na instrução global, esse endereço será convertido em porta. O PIX permite uma conversão de porta por interface, e essa conversão suporta até 65.535 objetos xlate ativos para o endereço global único. Conclua estas etapas: Define o grupo interno a ser incluído para PAT. (Utilizando 0 0 seleciona-se todos os hosts internos.) nat (inside) 1 10.6.0 255.255.255.0 Especificar o endereço global a ser usado para PAT. global (outside) 1 175.65 Há alguns detalhes a serem considerados ao usar PAT. Os endereços IP especificados para PAT não podem estar em outro pool de endereços global. A PAT não funciona com aplicativos H.323, servidores de nome de cachê e PPTP (Point-to-Point Tunneling Protocol). PAT funciona com DNS (serviço de nome de domínio), FTP e FTP passivo, HTTP, email, RPC, rshell, Telnet, filtragem de URL e traceroute externo. Não use PAT quando aplicativos de multimídia precisarem ser executados através de firewall. Os aplicativos multimídia podem entrar em conflito com os mapeamentos de porta fornecidos pelo PAT. Na versão 4.2(2) do software PIX, o recurso PAT não funciona com os pacotes de dados de IP que chegam em ordem inversa. Este problema foi corrigido na versão 4.2(3). Os endereços IP no pool de endereços globais especificados com o comando global requerem entradas de DNS reverso para assegurar que todos os endereços de rede externa estejam acessíveis através do PIX. Para criar mapeamentos invertidos de DNS, use um registro DNS Pointer (PTR) no arquivo de mapeamento para endereçar ao nome de cada endereço global. Sem as entradas de PTR, os sites podem experimentar conectividade lenta ou intermitente à Internet e as solicitações de FTP falham constantemente. Por exemplo, se um endereço IP global for 175.3 e o nome do domínio para o firewall PIX for pix.caguana.com, o registro PTR seria: 3.175.in-addr.arpa. IN PTR pix3.caguana.com 4.175.in-addr.arpa. IN PTR pix4.caguana.com & so on. Permissão de Acesso de Hosts Internos a DMZ sem Conversão Apesar de as configurações mostradas anteriormente neste documento utilizarem os comandos nat e global para permitir o acesso de hosts da rede interna a hosts em uma interface DMZ traduzindo os endereços de origem dos hosts internos, às vezes esta conversão não é desejada. Entretanto, quando um host em uma interface PIX Firewall inicia a conexão com um host em outra interface, o PIX deve ter uma forma de traduzir o endereço IP do host em si. Mesmo que não seja necessário que o endereço IP seja traduzido, a conversão deve ocorrer. Portanto, para permitir que os hosts internos acessem os hosts no DMZ, deve ser configurada uma conversão que na verdade não traduzirá nada. Pressuponha que os hosts na rede interna de 10.6.0/24 precisem acessar os hosts na rede DMZ de 1720/24: Crie uma conversão estática entre a rede interna e o DMZ que não traduza os endereços internos. static (inside,dmz) 10.6.0 10.6.0 netmask 255.255.255.0 Crie uma conversão estática para permitir que um host interno acesso o DMZ sem traduzir o endereço do host.

static (inside,dmz) 10.6.100 10.6.100 Observação: O PIX adiciona automaticamente uma máscara de rede de 255.255.255.255. Restrição de Acesso de Hosts Internos a Redes Externas Se houver um método de conversão definido para o host de origem, e nenhuma ACL estiver definida para a interface PIX, a conexão externa terá permissão por padrão. Entretanto, em alguns casos pode ser necessário restringir o acesso externo com base na origem, destino, protocolo e/ou porta. Isto pode ser feito no momento da configuração da ACL com o comando access-list e aplicando o mesmo à interface PIX de origem de conexão com o comando access-group. ACLs PIX apenas são aplicadas na direção de entrada. As ACLs estão disponíveis no código da versão 5.0.1 do PIX ou mais recente. Códigos anteriores utilizam instruções "outbound" e "apply", descritas na referência de comandos PIX. Este é um exemplo que permite acesso externo HTTP (Protocolo de transporte de hipertexto) para uma sub-rede, contudo nega todo o acesso externo ao HTTP de outros hosts e autoriza todo o tráfego IP para todos. Defina a ACL. access-list acl_outbound permit tcp 10.6.0 255.255.255.0 any eq www access-list acl_outbound deny tcp any any eq www access-list acl_outbound permit ip any any Observação: Os ACLs de PIX são diferentes dos ACLs nos roteadores Cisco IOS pois o PIX não usa uma máscara de caractere geral como o Cisco IOS. Isto usa uma máscara de sub-rede regular na definição de ACL. Assim como ocorre com os roteadores Cisco IOS, o PIX ACL tem um "deny all" implícito ao final da ACL. Aplique a ACL à interface interna. access-group acl_outbound in interface inside Permissão de Acesso de Hosts Não Confiáveis na sua Rede Confiável A maior parte das empresas precisa permitir o acesso de hosts não confiáveis a recursos em sua rede confiável, como em um servidor de web interno, um exemplo simples. Por padrão, o PIX nega conexões de hosts externos a hosts internos. Use os comandos static e conduit para permitir a conexão. Nas versões de software PIX 5.0.1 e superiores, os comandos access-list eaccess-group estão disponíveis além dos comandos conduit. As canalizações ou os ACLs fazem sentido para um PIX de duas interfaces. As canalizações são baseadas em direção. Elas possuem um conceito de dentro e fora. Com um PIX de duas interfaces, a canalização permite o tráfego de fora para dentro. Diferentemente das canalizações, os ACLs são aplicados a interfaces com o comando access-group. Esse comando associa a ACL à interface para examinar o tráfego que está fluindo em uma determinada direção. Em contraste com os comandos nat e global, que permitem a saída de hosts internos, o comando static cria uma conversão bidirecional que permite a saída de hosts internos e a entrada de hosts externos caso sejam criadas as canalizações adequadas ou sejam adicionados grupos/acls (software PIX versão 5.0.1 ou posterior). Nos exemplos de configurações de PAT mostrados anteriormente neste documento, se um host externo tentasse se conectar ao endereço global, ele poderia ser usado por milhares de hosts internos. O comando staticcria um mapeamento um a um. O comando conduit ou access-list define que tipo de conexão é permitido em um host interno e sempre é necessário quando um host de segurança inferior se conecta a um host de segurança superior. O comando conduit ou access-list se baseia em porta e protocolo. Ele pode ser bastante permissivo ou restritivo, dependendo do que o administrador de sistema deseja atingir. O diagrama de rede deste documento ilustra o uso desses comandos para configurar o PIX de modo a permitir que qualquer host não confiável se conecte ao servidor de Web interno e que o seguinte host não confiável, 199.199.199.24, tenha acesso a um serviço de FTP na mesma máquina. Uso de Canalizadores em Versões do Software PIX 4.4.5 e Superior Conclua estas etapas para as versões 4.4.5 e superiores do software PIX usando canalizações. Defina uma conversão de endereço estática para o servidor de web interno para um endereço externo/global. static (inside,outside) 175.254 10.200.254

Defina quais hosts podem se conectar a quais portas em seu servidor de web/ftp. conduit permit tcp host 175.254 eq www any conduit permit tcp host 175.254 eq ftp host 199.199.199.24 Nas versões 5.0.1 e posterior do software PIX, os ACLs com grupos de acesso podem ser usados em vez das canalizações. Canais ainda estão disponíveis, mas uma decisão deve ser tomada no sentido de usar canais ou ACLs. Não é aconselhável combinar ACLs e canalizações na mesma configuração. Se ambos estiverem configurados, os ACLs predominam sobre os canalizadores. Uso de ACLs em Versões do Software PIX 5.0.1 e Superior Conclua estas etapas para as versões 5.0.1 e superiores do software PIX usando ACLs. Defina uma conversão de endereço estática para o servidor de web interno para um endereço externo/global. static (inside, outside) 175.254 10.200.254 Defina quais hosts podem se conectar a quais portas em seu servidor de web/ftp. access-list 101 permit tcp any host 175.254 eq www access-list 101 permit tcp host 199.199.199.24 host 175.254 eq ftp 3. Aplique a ACL à interface externa. access-group 101 in interface outside Observação: Cuidado ao implementar estes comandos. Se o comando conduit permit ip any any ou access-list 101 permit ip any any for implementado, qualquer host na rede não confiável poderá acessar qualquer host na rede confiável utilizando IP contanto que haja uma conversão ativa. Desabilitar NAT Se tiver um endereço público na rede interna, e você quiser que os hosts internos sejam enviados para fora sem conversão, desative a NAT. Também é necessário alterar o comando static. Usando o exemplo deste documento, o comando nat é alterado, conforme mostrado a seguir: nat (inside) 0 175.0 255.255.255.0 Utilize estes comandos se usar ACLs no software PIX versões 5.0.1 e posteriores: access-list 103 permit ip 175.0 255.255.255.0 any nat (inside) 0 access-list 103 Este comando desabilita o NAT para a rede 175.0. O comando static do servidor de web é alterado conforme mostrado a seguir: static (inside, outside) 175.254 175.254 Este comando define a canalização do servidor da Web.

conduit permit tcp host 175.254 eq www any Utilize estes comandos se usar ACLs no software PIX versões 5.0.1 e posteriores: access-list 102 permit tcp any host 175.254 eq www access-group 102 in interface outside Observe a diferença entre usar o nat 0 com especificação rede/máscara em vez de usar uma ACL que usa uma rede/máscara que permite apenas a iniciação de conexões do lado de dentro. O uso de ACLs permite o início de conexões por tráfego de entrada ou saída. As interfaces de PIX devem estar em sub-redes diferentes para evitar problemas de alcançabilidade. Redirecionamento (Encaminhamento) de Porta com Estática No PIX 6.0, o recurso de Redirecionamento (Encaminhamento) de Porta foi adicionado para permitir que os usuários externos se conectem a um determinado endereço IP/porta e que o PIX redirecione o tráfego para o servidor interno adequado. O comando static foi modificado. O endereço compartilhado pode ser um endereço exclusivo, um endereço PAT de saída compartilhado ou compartilhado com a interface externa. Observação: Estes comandos estão em duas linhas devido a limitações de espaço. static [(internal_if_name, external_if_name)] {global_ip interface} local_ip [netmask mask] [max_conns [emb_limit [norandomseq]]] static [(internal_if_name, external_if_name)] {tcp udp} {global_ip interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]] Estes são os redirecionamentos de porta da rede de exemplo: Usuários externos direcionam requisições Telnet a um endereço IP exclusivo1718.124.99. que o PIX redireciona para 10.6. Os usuários externos direcionam solicitações de FTP para endereços IP exclusivos 1718.124.99, que o PIX redireciona para 10.3. Os usuários externos direcionam as solicitações de Telnet para o endereço PAT 1718.124.208, o qual é redirecionado pelo PIX para 10.4. Os usuários externos direcionam requisições de Telnet para o endereço IP externo de PIX 1718.124.216, que o PIX redireciona para 10.5. Os usuários externos direcionam requisições de HTTP para o endereço IP externo de PIX 1718.124.216, que o PIX redireciona para 10.5. Usuários externos direcionam solicitações de porta 8080 HTTP para o endereço PAT 1718.124.208, cujo PIX redireciona para a porta 80 10.7 Este exemplo também bloqueia o acesso de alguns usuários do interior para o exterior com a ACL 100. Esta etapa é opcional. Todo o tráfego é permitido no sentido de saída sem a ACL no lugar. Diagrama de Rede - Redirecionamento (Encaminhamento) de Porta

Configuração PIX Parcial - Redirecionamento (Encaminhamento) de Porta Esta configuração parcial ilustra o uso do redirecionamento de porta estático. Configuração PIX Parcial - Redirecionamento (Encaminhamento) de Porta fixup protocol ftp 21!--- O uso de uma ACL externa é opcional. access-list 100 permit tcp 10.0 255.255.255.128 any eq www access-list 100 deny tcp any any eq www access-list 100 permit tcp 10.0.0.0 255.0.0.0 any access-list 100 permit udp 10.0.0.0 255.0.0.0 host 1718.124.100 eq domain access-list 101 permit tcp any host 1718.124.99 eq telnet access-list 101 permit tcp any host 1718.124.99 eq ftp access-list 101 permit tcp any host 1718.124.208 eq telnet access-list 101 permit tcp any host 1718.124.216 eq telnet access-list 101 permit tcp any host 1718.124.216 eq www access-list 101 permit tcp any host 1718.124.208 eq 8080 ip address outside 1718.124.216 255.255.255.0 ip address inside 10.2 255.255.255.0 global (outside) 1 1718.124.208 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) tcp 1718.124.99 telnet 10.6 telnet netmask 255.255.255.255 0 0 static (inside,outside) tcp 1718.124.99 ftp 10.3 ftp netmask 255.255.255.255 0 0 static (inside,outside) tcp 1718.124.208 telnet 10.4 telnet netmask 255.255.255.255 0 0 static (inside,outside) tcp interface telnet 10.5 telnet netmask 255.255.255.255 0 0 static (inside,outside) tcp interface www 10.5 www netmask 255.255.255.255 0 0 static (inside,outside) tcp 1718.124.208 8080 10.7 www netmask 255.255.255.255 0 0 access-group 100 in interface inside access-group 101 in interface outside!--- O uso de uma ACL externa é opcional. NAT Externo No PIX 6.2 e posterior, a NAT e a PAT podem ser aplicadas ao tráfego a partir de uma interface externa (menos segura) para uma interface interna (mais segura). Algumas vezes isto é chamado de NAT bidirecional. O NAT/PAT externo é semelhante ao NAT/PAT interno, mas a conversão de endereço é aplicada aos endereços de hosts que residem nas interfaces externas (menos seguras) do PIX. Para configurar o NAT externo dinâmico, especifique os endereços a serem convertidos na interface menos segura e especifique um ou mais endereços globais na interface interna (mais segura). Para configurar NAT externo estático, use o comando static para especificar o mapeamento um para um. Depois que o NAT externo for configurado, quando um pacote chegar na interface externa (menos segura) do PIX, o PIX tentará localizar um xlate (entrada de conversão de endereço) existente no banco de dados de conexões. Se não houver nenhum xlate, ele pesquisará a política NAT da configuração em execução. Se uma política NAT for localizada, um xlate será criado e inserido no banco de dados. Em seguida, o PIX regrava o endereço de origem no endereço global ou mapeado e transmite o pacote na interface interna. Com o xlate estabelecido, os endereços de

quaisquer pacotes subseqüentes podem ser rapidamente convertidos por meio da consulta de entradas no banco de dados das conexões. Diagrama de Rede - NAT Externo No exemplo: Dispositivo 10.100.2 para NAT para 209.165.20135 ao sair Dispositivo 209.165.20129 para NAT para 10.100.3 ao chegar Outros dispositivos na rede 10.100.x para a NAT em endereços no pool 209.165.20140-209.165.20141 ao sair A conectividade do dispositivo 209.165.20129 para o dispositivo 10.100.2 com o dispositivo 209.165.20129 enxergando o dispositivo interno como 209.165.20135 se o dispositivo 10.100.2 enxergando o tráfego de 209.165.20129 como vindo de 10.100.3 (por causa do NAT externo) Acesso permitido a todos os dispositivos 209.165.20x usando ACLs ou canalizações. Configuração de PIX Parcial NAT Externo Configuração de PIX Parcial NAT Externo ip address outside 209.165.20130 255.255.255.224 ip address inside 10.100.1 255.255.255.0 global (outside) 5 209.165.20140-209.165.20141 netmask 255.255.255.224 nat (inside) 5 10.100.0 255.255.255.0 0 0 static (inside,outside) 209.165.20135 10.100.2 netmask 255.255.255.255 0 0 static (outside,inside) 10.100.3 209.165.20129 netmask 255.255.255.255 0 0 conduit permit ip 209.165.200 255.255.255.0 209.165.200 255.255.255.0!--- Ou, no lugar das canalizações, deixamos as instruções de estática mas temos o seguinte. access-list 101 permit ip 209.165.200 255.255.255.0 209.165.200 255.255.255.0 access-group 101 in interface outside Solução de Problemas Esta seção fornece informações que podem ser usadas para solucionar problemas da configuração. Se você utilizar pings ICMP para testar uma conversão configurada, os pings provavelmente retornarão falha e podem criar a impressão de que a conversão não está funcionando. Por padrão, o PIX bloqueia as mensagens ICMP contra interfaces de segurança mais baixa para interfaces de segurança mais alta. Isto ocorre mesmo que a mensagem de erro seja em resposta a um ping iniciado internamente. Como resultado, certifique-se de utilizar outro método, como Telnet, para verificar a configuração. Após fazer alterações a regras de conversão no PIX, recomenda-se que o comando clear xlate seja executado. Isto garante que as conversões antigas não interfiram com as configuradas recentemente e façam com que elas não operem corretamente. Após configurar ou alterar as conversões estáticas entre servidores internamente ou no DMZ externamente, pode ser necessário limpar o cache do ARP do roteador do gateway ou outro dispositivo do próximo nó. Informações a Serem Coletadas se um Caso de TAC for Aberto Se você ainda precisar de assistência após seguir as etapas de solução de problemas mencionadas acima e quiser abrir um caso com o TAC Cisco, certifique-se de incluir as informações a seguir para solucionar problemas do Firewall PIX.

Descrição de problema e detalhes relevantes de topologia Solucione os problemas antes de abrir o caso Saída do comando show tech-support Saída do comando show log após execução com o comando logging buffered debugging ou captura do console que demonstre o problema (se disponível) Anexe os dados de coleta ao seu caso em formato de texto simples, não zipado (.txt). Você pode anexar informações carregando-as com o uso da ferramenta Case Query ( clientes registrados somente). Se você não conseguir acessar a ferramenta Case Query, é possível enviar as informações em um anexo de e-mail para attach@cisco.com com o número do caso na linha de assunto da mensagem. Informações Relacionadas Cisco PIX Firewall Software Referências de Comandos do Cisco Secure PIX Firewall Field Notices de Produto de Segurança (incluindo PIX) Solicitações de Comentários (RFCs) Suporte Técnico e Documentação - Cisco Systems 1992-2014 Cisco Systems Inc. Todos os direitos reservados. Data da Geração do PDF: 7 Abril 2008 http://www.cisco.com/cisco/web/support/br/8/83/83709_28.html

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback