Uso de los comandos nat, global, static, conduit y access-list y redirección (reenvío) de puertos en PIX

Documentos relacionados
PIX/ASA 7.x: Vire Redirection(Forwarding) hacia el lado de babor con nacional, global, los parásitos atmosféricos y los comandos accesslist

ASA 7.x/PIX 6.x y Versiones Posteriores: Ejemplo de Configuración para Abrir o Bloquear los Puertos

Configuración simultánea de NAT estático y dinámico

Configuración de Network Address Translation: Introducción

Configuración de una red privada a privada con túnel de router IPsec con NAT y estático

Ejemplo de configuración usando el comando ip nat outside source static

Configuración de Network Address Translation: Getting Started

Configure un servidor público con el ASDM de Cisco

Utilización de NAT en Redes Superpuestas

Uso de números de puerto FTP no estándares con NAT

Utilice el NAT para ocultar el IP Address real del ONS15454 para establecer a una sesión CTC

Infraestructura del software que reconoce VRF de la configuración (VASI) NAT en IOS-XE

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT

Configuración de muestra usando el comando ip nat outside source list

Práctica de laboratorio: configuración y verificación de ACL extendidas Topología

Configuración del NAT básica ASA: Servidor Web en el DMZ en la Versión de ASA 8.3 y posterior

Práctica de laboratorio: resolución de problemas de configuración y colocación de ACL Topología

Soporte NAT para varios conjuntos usando mapas de ruta

ASA 8.2: Redirección de puerto (expedición) con nacional, global, estático, y comandos accesslist que usan el ASDM

PIX/ASA 7.x: activación de la comunicación entre interfaces

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Configuración del NAT básica ASA: Servidor Web en el DMZ en la Versión de ASA 8.3 y posterior

Práctica de laboratorio 3.1.4: Aplicación de la seguridad básica del switch

Práctica de laboratorio : Práctica de laboratorio de reto de configuración de OSPF

Conexiones de permiso PPTP/L2TP con el PIX/ASA/FWSM

IP de uso general ACL de la configuración

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

PIX/ASA 7.x: Comunicación del permiso/de la neutralización entre las interfaces

Filtros VPN en el ejemplo de la configuración de ASA de Cisco

Práctica de laboratorio 2.8.2: Desafío de configuración de ruta estática /26

Práctica de laboratorio : Práctica de laboratorio sobre desafío a la configuración básica de OSPF

Control de acceso basado en el contexto (CBAC): Introducción y configuración

Filtrado de tráfico mediante listas de control de acceso. Introducción al enrutamiento y la conmutación en la empresa Capítulo 8

Configuración de ACL IP utilizadas frecuentemente

Práctica de laboratorio: resolución de problemas de configuración NAT

Práctica de laboratorio: resolución de problemas de configuración NAT

Práctica de laboratorio 9.6.2: Práctica de laboratorio de desafío a la configuración de EIGRP

Actividad de PT 5.2.8: Configuración de las ACL estándar Diagrama de topología

Configurando a túnel IPSec de red privada a privada del router con el NAT y los parásitos atmosféricos

CWS en el tráfico ASA a los servidores internos bloqueados

FWSM: Fallas debido del tráfico del Troubleshooting para perjudicar Xlates

PIX/ASA 7.x: Ejemplo de configuración para habilitar servicios FTP/TFTP

ASA 8.3 y posterior: Acceso al servidor del correo (S TP) en el ejemplo de la configuración de DMZ

Configuración y verificación de las ACL estándar

Práctica de laboratorio 7.5.2: Práctica de laboratorio de configuración del desafío de RIPv2

Práctica de laboratorio: Uso de la CLI para recopilar información sobre dispositivos de red

Introducción Cisco-Pix Firewall. Ing. Civil en Sistemas Ricardo E. Gómez M.

ASA 8.3: Establezca y resuelva problemas la Conectividad a través del dispositivo del Cisco Security

Lista de Control de Acceso (ACL) LOGO

Configuración de la Traducción de dirección de red y la Traducción de direcciones de puerto estáticas para la admisión de un servidor Web interno.

NAT: Definiciones locales y globales

Práctica de laboratorio b Listas de acceso extendidas DMZ sencillas

NAT: Definiciones locales y globales

Proxy WebRTC de la configuración con CMS sobre Expressway con el dominio dual

Práctica de laboratorio: Configuración de una NIC para usar DHCP en Windows

Configuración de PIX Firewall con Acceso al servidor de correo en una red externa.

9.9.1: Desafío de integración de capacidades: Ethernet conmutada

Ejemplo de configuración ISDN - IP

Autenticación de servidor alterno de autenticación saliente - Ningún Firewall Cisco IOS o configuración del NAT

Configuración de IPSec entre tres routers mediante el uso de direcciones privadas

DNS Doctoring en el ejemplo de configuración ASA

Configuración de PIX Firewall con acceso a un servidor de correo en una red interna

El ASA tiene CPU elevada uso debido a un loop del tráfico cuando desconexión de los clientes VPN

ASA 8.X y posterior: Agregue o modifique una lista de acceso con el ejemplo de la Configuración del GUI del ASDM

Práctica de laboratorio: resolución de problemas de configuración de VLAN

NetFlow Flexible que filtra con el monitor de rendimiento

Las conexiones inalámbricas de la movilidad fallan y no se recuperan cuando se reinicia el ASA

Práctica de laboratorio Conexión y configuración de hosts

Capítulo 5: Enrutamiento entre VLAN

FRANCISCO ANTONIO BELDA DIAZ

Práctica de laboratorio Reto de la configuración del VTP

Ejemplo de Configuración de GRE sobre IPSec con EIGRP para Rutear a través de un Hub y Múltiples Sitios Remotos

Tema: Configuración inicial Firewall ASA

Entienda cómo la característica automática de la actualización de firma del IPS de Cisco trabaja

Listas de control de acceso y fragmentos IP

Laboratorio de Redes de Computadoras I Práctica #5: Configuración de Subred y Router UNIVERSIDAD NACIONAL AUTONOMA DE MÉXICO INGENIERÍA EN COMPUTACIÓN

Balanceo de carga IOS NAT para dos Conexiones ISP

Ingeniería. Práctica. Pablo

Práctica de laboratorio Configuración de parámetros básicos del router con la CLI del IOS

Túnel VPN de LAN a LAN entre dos PIXes usando el ejemplo de configuración PDM

PIX/ASA como ejemplo del servidor DHCP y de la configuración del cliente

Configuración de servidor de Syslog en los reguladores del Wireless LAN (WLCs)

3.6.1: Actividad de desafío de integración de aptitudes del Packet Tracer Diagrama de topología

Práctica de laboratorio: Resolución de problemas de EtherChannel

Práctica de laboratorio 8.3.5: Configuración y verificación de ACL nombradas y extendidas

TEMA 6. Interconexión de equipos y redes

Packet Tracer: Configuración de GRE por IPsec (optativo)

Implementación de la mejora de las características ASA SNMP

5.6.1: Desafío de integración de habilidades: Enrutamiento de paquetes IP

Práctica de laboratorio: Diseño e implementación de un esquema de direccionamiento VLSM

Práctica de laboratorio 8.3.3: Configuración y verificación de las ACL estándar

Troubleshooting de la configuración de la traducción de dirección de red ASA

Práctica de laboratorio: Configuración del Firewall en Windows 7 y Vista

Práctica de laboratorio 3.2.3: Creación de una red conmutada con enlaces redundantes

Transcripción:

Uso de los comandos nat, global, static, conduit y access-list y redirección (reenvío) de puertos en PIX Contenidos Introducción Requisitos previos Requisitos Componentes utilizados Convenciones Diagrama de la red Configuración inicial Procedimiento para permitir el acceso de salida del PIX Procedimiento para permitir que algunos de los hosts internos tengan acceso a las redes exteriores Procedimiento para permitir que el resto de hosts internos tengan acceso a las redes exteriores Procedimiento para permitir que los hosts internos tengan acceso a zonas DMZ sin traducción Procedimiento para restringir el acceso de los hosts internos a redes exteriores Procedimiento para permitir que los hosts que no son de confianza tengan acceso a los hosts de la red de confianza Uso de conductos en PIX 4.4.5 y versiones posteriores Uso de las ACL en las versiones 5.0.1 y posteriores de PIX Inhabilitación de NAT Redirección (reenvío) de puertos con estática Diagrama de la red Redirección (reenvío) de puertos Configuración parcial de PIX: redirección (reenvío) de puertos NAT externa Diagrama de la red NAT externa Configuración parcial de PIX: NAT externo Resolución de problemas Información para recopilar si abre un caso del TAC Introducción Para maximizar la seguridad cuando se implementa un Cisco Secure PIX Firewall, es importante entender cómo viajan los paquetes entre las interfaces de mayor seguridad desde las de menor seguridad mediante los comandos nat, global, static y conduit, o los comandos access-list y access-group en las versiones 5.0 y posteriores del software PIX. En este documento se explican las diferencias entre estos comandos y cómo configurar la redirección (reenvío) de puertos en la versión 6.0 del software PIX; también se describe la función Traducción de direcciones de red (NAT) externa agregada a la versión 6.2 del software PIX. Consulte PIX/ASA 7.x NAT and PAT Statements (Sentencias NAT y PAT de PIX/ASA 7.x) si desea más información sobre las configuraciones básicas de NAT y la traducción de direcciones de puerto PAT en dispositivos de seguridad Cisco PIX serie 500. Consulte Uso de las sentencias NAT y PAT en Cisco Secure PIX Firewall para obtener más información sobre los ejemplos de configuraciones básicas de NAT y PAT en Cisco Secure PIX Firewall. Requisitos previos Requisitos No hay requisitos específicos para este documento. Componentes utilizados La información que contiene este documento se basa en estas versiones de software. Versiones 4.4.5 o posteriores del software del Firewall PIX de Cisco Secure. La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos

que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está en producción, asegúrese de comprender el impacto que pueda tener cualquier comando. Convenciones Consulte Cisco Technical Tips Conventions (Convenciones sobre consejos técnicos de Cisco) para obtener más información sobre las convenciones del documento. Diagrama de la red Configuración inicial Los nombres de las interfaces son: nameif ethernet0 outside security0 nameif ethernet1 inside security100 Procedimiento para permitir el acceso de salida del PIX El acceso de salida describe conexiones desde una interfaz de mayor nivel de seguridad a otra de menor nivel de seguridad. Esto incluye las conexiones desde el interior al exterior, interior hacia las zonas desmilitarizadas (DMZ) y DMZ hacia el exterior. También puede incluir conexiones de una DMZ a otra, siempre que la interfaz de origen de conexión tenga un mayor nivel de seguridad que la de destino. Esto puede confirmarse consultando la configuración de nameif en PIX. Se requieren dos políticas para permitir el acceso de salida. La primera es un método de traducción. Puede ser una traducción estática mediante el comando static o una traducción dinámica con una regla NAT/global. El otro requisito para el acceso de salida es si existe una lista de control de acceso (ACL) presente; entonces ésta debe permitir al host de origen acceder al host de destino utilizando un protocolo y puerto específico. De forma predeterminada, no hay restricciones de acceso a las conexiones salientes a través del PIX. Esto significa que si no hay una ACL configurada en la interfaz de origen, como opción predeterminada, se permitirá la conexión de salida si hay un método de traducción configurado. Las siguientes secciones proporcionan ejemplos para configurar un método de traducción y restringir el acceso de salida mediante el uso de una ACL. Procedimiento para permitir que algunos de los hosts internos tengan acceso a las redes exteriores Esta configuración permite que todos los hosts de la subred 10.6.0/24 tengan acceso al exterior. Los comandos nat y global se utilizan con este fin. Defina el grupo interno que se incluirá para NAT. nat (inside) 1 10.6.0 255.255.255.0 Especifique el grupo de direcciones de la interfaz externa al que se traducen los hosts definidos en la sentencia NAT.

global (outside) 1 175.3-175.64 netmask 255.255.255.0 Ahora, los hosts internos pueden obtener acceso a redes externas. Cuando algunos hosts internos inician una conexión al exterior, son traducidos a una dirección del conjunto global. Observe que la asignación de las direcciones se realiza desde un grupo global y la conversión se realiza por orden de llegada, comenzando con la dirección inferior del grupo. Por ejemplo, si el host 10.6.25 es el primero en iniciar una conexión hacia el exterior, recibe la dirección 175.3. El siguiente host que sale recibe la dirección 175.4, etc. Esta traducción no es estática y vence después de transcurrido un período de inactividad definido por el comando timeout xlate hh:mm:ss. Procedimiento para permitir que el resto de hosts internos tengan acceso a las redes exteriores El problema es que hay más hosts internos que direcciones externas. Para permitir que todos los hosts accedan al exterior, utilice la traducción de direcciones de puerto (PAT). Si se especifica una dirección en la sentencia global, los puertos de esa dirección se traducen. El PIX permite una traducción de puerto por interfaz y esa traducción admite hasta 65,535 objetos de traducción activos para una única traducción global. Complete estos pasos: Defina el grupo interno para incluir en PAT. (Con 0 0 se seleccionan todos los hosts internos.) nat (inside) 1 10.6.0 255.255.255.0 Especifique la dirección global que se usará para PAT. global (outside) 1 175.65 Al utilizar PAT, hay que tener en cuenta diferentes factores. Las direcciones IP que se especifican para PAT no pueden formar parte de otro grupo de direcciones global. PAT no funciona con aplicaciones H.323, servidores de nombres con almacenamiento en memoria caché ni el protocolo de tunelización punto a punto (PPTP). PAT funciona con Sistema de nombres de dominio (DNS), FTP y FTP pasivo, HTTP, correo, llamada de procedimiento remoto (RPC), rshell, Telnet, filtrado de URL y el traceroute de salida. No utilice PAT cuando deban ejecutarse aplicaciones multimedia a través del firewall. Las aplicaciones de multimedia pueden entrar en conflicto con los mapeos del puerto provistos por PAT. En la versión del software PIX 4.2(2), la función PAT no funciona con paquetes de datos IP que llegan en orden inverso. Este problema se resuelve en la versión 4.2(3). Las direcciones IP en el grupo de direcciones globales especificadas con el comando global requieren entradas DNS en orden inverso (reverse DNS) para asegurar que todas las direcciones externas de red sean accesibles a través de PIX. Para crear correspondencias DNS inversas, utilice un registro de puntero DNS (PTR) en el archivo de correspondencia dirección-a-nombre para cada dirección global. Sin las entradas PTR, los sitios pueden sufrir una conectividad a Internet lenta o intermitente y los pedidos FTP pueden fallar constantemente. Por ejemplo, si una dirección IP global es 175.3 y el nombre de dominio del PIX Firewall es pix.caguana.com, el registro PTR sería: 3.175.in-addr.arpa. IN PTR pix3.caguana.com 4.175.in-addr.arpa. IN PTR pix4.caguana.com & so on. Procedimiento para permitir que los hosts internos tengan acceso a zonas DMZ sin traducción Aunque las configuraciones anteriores de este documento utilizan los comandos nat y global para permitir que los hosts de la red interior tengan acceso a los hosts de una interfaz DMZ traduciendo las direcciones de origen de los hosts internos, a veces este tipo de traducción no es recomendable. Pero cuando un host en una interfaz de un PIX Firewall inicia una conexión con un host de otra interfaz, el PIX debe tener una manera de traducir la dirección IP del host a través de él mismo. Aunque no sea necesario traducir la dirección IP, debe producirse una traducción. Por lo tanto, para permitir que los hosts internos tengan acceso a los hosts de la DMZ, debe configurarse una traducción que en realidad no traduce. Suponga que los hosts de la red interior 10.6.0/24 deben tener acceso a los hosts de la red 1720/24 de la DMZ:

Cree una traducción estática entre toda la red interior y la DMZ que en realidad no traduzca direcciones internas. static (inside,dmz) 10.6.0 10.6.0 netmask 255.255.255.0 Cree una traducción estática para permitir que un host interno tenga acceso a la DMZ sin traducir en realidad la dirección del host. static (inside,dmz) 10.6.100 10.6.100 Nota: el PIX agrega automáticamente una máscara de subred de 255.255.255.255. Procedimiento para restringir el acceso de los hosts internos a redes exteriores Si hay un método de traducción válido definido para el host de origen y ninguna ACL definida para la interfaz PIX de origen, se permitirá la conexión saliente de forma predeterminada. Sin embargo, en algunos casos, puede ser necesario limitar el acceso de salida según el origen, el destino, el protocolo y/o el puerto. Esto puede realizarse configurando una ACL con el comando access-list y aplicándola a la interfaz PIX de origen de la conexión con el comando access-group. las ACL del PIX se aplican sólo hacia adentro. Las ACL están disponibles en el código 5.0.1 o posterior de la versión de PIX. Las versiones anteriores utilizan las sentencias "outbound" y "apply", descritas en el material de consulta de los comandos de PIX. El siguiente es un ejemplo que permite acceso de salida HTTP a una subred, pero niega al resto de hosts acceso HTTP al exterior, mientras que permite el resto del tráfico IP a todos los hosts. Defina la ACL. access-list acl_outbound permit tcp 10.6.0 255.255.255.0 any eq www access-list acl_outbound deny tcp any any eq www access-list acl_outbound permit ip any any Nota: las ACL de PIX se distinguen de las ACL de los routers de Cisco IOS porque el PIX no utiliza una máscara comodín como Cisco IOS. Usa una máscara de subred regular en la definición ACL. Al igual que en los routers Cisco IOS, la ACL de PIX posee un denegar todo implícito al final de la ACL. Aplique el ACL a la interfaz interna. access-group acl_outbound in interface inside Procedimiento para permitir que los hosts que no son de confianza tengan acceso a los hosts de la red de confianza La mayoría de organizaciones deben permitir que los hosts que no son de confianza tengan acceso a los recursos de su red de confianza, siendo un ejemplo típico un servidor web interno. De forma predeterminada, PIX impide las conexiones de los hosts externos a los internos. Utilice los comandos static y conduit para permitir esta conexión. En las versiones 5.0.1 y posteriores del software PIX, los comandos access-list y accessgroup están disponibles, además de los comandos conduit. Tanto los conductos como las ACL tienen sentido para un PIX de dos interfaces. Los conductos se basan en la dirección. Tienen un concepto de interior y exterior. Con un PIX de dos interfaces, el conducto permite el tráfico del exterior al interior. A diferencia de los conductos, las ACL se aplican a las interfaces con un comando access-group. Este comando asocia la ACL con la interfaz para examinar el tráfico que circula en una dirección en particular. A diferencia de los comandos nat y global que permiten la salida de hosts internos, el comando static crea una traducción bidireccional que permite la salida de hosts internos y la entrada de hosts externos si se crean los conductos adecuados o se agregan ACL/grupos (versión 5.0.1 o posterior del software PIX). En la configuración PAT de los ejemplos anteriores de este documento, si un host externo intentaba conectarse a la dirección global, podría ser usado por miles de hosts internos. El comando static crea una asignación de uno a uno. El comando conduit o access-list define qué tipo de conexión se le permite a un host interno y siempre es necesario cuando un host con seguridad baja se conecta a un host con seguridad más alta. El conduit o access-list se basa tanto en el puerto como en el protocolo. Puede ser muy permisivo o muy restrictivo, dependiendo de lo que quiera conseguir el administrador del sistema.

El diagrama de red de este documento ejemplifica el uso de estos comandos para configurar el PIX de manera que autorice que los hosts que no son de confianza se conecten al servidor web interno, permitiendo que este host que no es de confianza, 199.199.199.24, acceda al servicio FTP en el mismo equipo. Uso de conductos en PIX 4.4.5 y versiones posteriores Siga estos pasos para las versiones 4.4.5 y posteriores del software PIX con conductos. Defina una traducción de dirección estática para el servidor Web interno a una dirección global/externa. static (inside,outside) 175.254 10.200.254 Defina qué hosts pueden conectarse a qué puertos del servidor web/ftp. conduit permit tcp host 175.254 eq www any conduit permit tcp host 175.254 eq ftp host 199.199.199.24 En el software PIX 5.0.1 y posterior, pueden usarse ACL con grupos de acceso en lugar de conductos. Los conductos todavía están disponibles, pero se debe elegir entre el uso de conductos o las ACL. No se recomienda combinar las ACL y los conductos en la misma configuración. Si ambos están configurados, las ACL tienen preferencia ante los conductos. Uso de las ACL en las versiones 5.0.1 y posteriores de PIX Siga estos pasos para las versiones 5.0.1 y posteriores del software PIX con ACL. Defina una traducción de dirección estática para el servidor Web interno a una dirección global/externa. static (inside, outside) 175.254 10.200.254 Defina qué hosts pueden conectarse a qué puertos del servidor web/ftp. access-list 101 permit tcp any host 175.254 eq www access-list 101 permit tcp host 199.199.199.24 host 175.254 eq ftp 3. Aplique la ACL a la interfaz externa. access-group 101 in interface outside Nota: estos comandos deben utilizarse con prudencia. Si se ejecuta el comando conduit permit ip any any o access-list 101 permit ip any any, cualquier host de la red que no es de confianza puede tener acceso a cualquier host de la red de confianza utilizando IP siempre que haya una traducción activa. Inhabilitación de NAT Si tiene una dirección pública dentro de la red y desea que los hosts internos salgan al exterior sin traducción, puede inhabilitar NAT. También hay que cambiar el comando static. Según el ejemplo de este documento, el comando nat cambia como se muestra en este resultado: nat (inside) 0 175.0 255.255.255.0 Si utiliza ACL en el software PIX versión 5.0.1 y posteriores, utilice los siguientes comandos:

access-list 103 permit ip 175.0 255.255.255.0 any nat (inside) 0 access-list 103 Este comando desactiva la NAT para la red 175.0. El comando static del servidor web cambia como se muestra en este resultado: static (inside, outside) 175.254 175.254 Este comando define el conducto del servidor web. conduit permit tcp host 175.254 eq www any Si utiliza ACL en el software PIX versión 5.0.1 y posteriores, utilice los siguientes comandos: access-list 102 permit tcp any host 175.254 eq www access-group 102 in interface outside Tenga en cuenta que la diferencia entre usar nat 0 con especificación de la red/máscara en contraposición con usar una ACL que emplea una red/máscara es que permite la iniciación de conexiones únicamente desde el interior. El uso de ACL permite iniciar conexiones mediante tráfico entrante o saliente. Las interfaces PIX deberían estar en subredes diferentes para evitar problemas de alcance. Redirección (reenvío) de puertos con estática En PIX 6.0, se ha agregado la función de redirección (reenvío) de puertos para permitir que los usuarios externos se conecten a una dirección o un puerto IP determinados y hacer que PIX redireccione el tráfico al servidor interno adecuado; se ha modificado el comando static. La dirección compartida puede ser una dirección exclusiva, una dirección PAT saliente compartida o compartida con la interfaz externa. Nota: estos comandos se muestran en dos líneas debido a limitaciones de espacio. static [(internal_if_name, external_if_name)] {global_ip interface} local_ip [netmask mask] [max_conns [emb_limit [norandomseq]]] static [(internal_if_name, external_if_name)] {tcp udp} {global_ip interface} global_port local_ip local_port [netmask mask] [max_conns [emb_limit [norandomseq]]] Estas son las redirecciones de puerto correspondientes a la red de ejemplo: Los usuarios externos dirigen las peticiones Telnet a la dirección IP 1718.124.99 única y el PIX las redirige a 10.6. Los usuarios externos dirigen las peticiones FTP a la dirección IP exclusiva 1718.124.99, que PIX redirige a 10.3. Los usuarios externos dirigen las peticiones Telnet a la dirección PAT 1718.124.208 y el PIX las redirige a 10.4. Los usuarios externos dirigen las peticiones Telnet a la dirección IP externa 1718.124.216, que el PIX redirige a 10.5. Los usuarios externos dirigen las peticiones HTTP a la dirección IP externa 1718.124.216 del PIX y éste las redirige a 10.5. Los usuarios externos direccionan las peticiones del puerto 8080 http a la dirección PAT 1718.124.208 y el PIX las redirecciona a la 10.7.del puerto 80. En este ejemplo también se bloquea el acceso de algunos usuarios desde el interior al exterior con la ACL 100. Este paso es opcional. Sin la ACL, se permite todo el tráfico de salida. Diagrama de la red Redirección (reenvío) de puertos

Configuración parcial de PIX: redirección (reenvío) de puertos En esta configuración parcial se muestra el uso de la redirección estática de puertos. Configuración parcial de PIX: redirección (reenvío) de puertos fixup protocol ftp 21!--- El uso de una ACL de salida es opcional. access-list 100 permit tcp 10.0 255.255.255.128 any eq www access-list 100 deny tcp any any eq www access-list 100 permit tcp 10.0.0.0 255.0.0.0 any access-list 100 permit udp 10.0.0.0 255.0.0.0 host 1718.124.100 eq domain access-list 101 permit tcp any host 1718.124.99 eq telnet access-list 101 permit tcp any host 1718.124.99 eq ftp access-list 101 permit tcp any host 1718.124.208 eq telnet access-list 101 permit tcp any host 1718.124.216 eq telnet access-list 101 permit tcp any host 1718.124.216 eq www access-list 101 permit tcp any host 1718.124.208 eq 8080 ip address outside 1718.124.216 255.255.255.0 ip address inside 10.2 255.255.255.0 global (outside) 1 1718.124.208 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) tcp 1718.124.99 telnet 10.6 telnet netmask 255.255.255.255 0 0 static (inside,outside) tcp 1718.124.99 ftp 10.3 ftp netmask 255.255.255.255 0 0 static (inside,outside) tcp 1718.124.208 telnet 10.4 telnet netmask 255.255.255.255 0 0 static (inside,outside) tcp interface telnet 10.5 telnet netmask 255.255.255.255 0 0 static (inside,outside) tcp interface www 10.5 www netmask 255.255.255.255 0 0 static (inside,outside) tcp 1718.124.208 8080 10.7 www netmask 255.255.255.255 0 0 access-group 100 in interface inside access-group 101 in interface outside!--- El uso de una ACL de salida es opcional. NAT externa A partir de la versión PIX 6.2, NAT y PAT pueden aplicarse al tráfico de una interfaz externa, o menos segura, a una interfaz interna (más segura). En algunas ocasiones, esto se denomina NAT bidireccional. NAT/PAT exterior es similar a NAT/PAT interior, pero la traducción de direcciones se aplica a las direcciones de hosts que residen en las interfaces exteriores (menos seguras) del PIX. Para configurar un NAT externo dinámico, especifique las direcciones que deben traducirse en la interfaz menos segura y también la dirección o direcciones globales en la interfaz interna (más segura). Para configurar el NAT externo estático, utilice el comando static a fin de especificar la correspondencia uno a uno. Después de que se configura la NAT externa, cuando un paquete llega a la interfaz exterior (menos segura) del PIX, el PIX intenta ubicar una xlate (entrada de traducción de dirección) existente en la base de datos de las conexiones. Si no existe xlate, busca la política NAT en la configuración en funcionamiento. Si se encuentra una política NAT, se crea una xlate y se introduce en la base de datos. El PIX luego vuelve a escribir la dirección de fuente para la dirección correlacionada con la memoria o la global y transmite el paquete en la interfaz interior. Una vez

que se establece xlate, las direcciones de cualquier paquete subsiguiente pueden traducirse rápidamente consultando las entradas en la base de datos de conexiones. Diagrama de la red NAT externa En el ejemplo: Dispositivo 10.100.2 a NAT a 209.165.20135 cuando sale Dispositivo 209.165.20129 a NAT a 10.100.3 cuando entra Otros dispositivos de la red 10.100.x a NAT a direcciones del grupo 209.165.20140-209.165.20141 cuando sale Conectividad del dispositivo 209.165.20129 al dispositivo 10.100.2 viendo el dispositivo 209.165.20129 el dispositivo interno como 209.165.20135 y viendo el dispositivo 10.100.2 el tráfico de 209.165.20129 como procedente de 10.100.3 (debido al NAT externo) Se permite el acceso a todos los dispositivos 209.165.20x mediante ACL o conductos. Configuración parcial de PIX: NAT externo Configuración parcial de PIX: NAT externo ip address outside 209.165.20130 255.255.255.224 ip address inside 10.100.1 255.255.255.0 global (outside) 5 209.165.20140-209.165.20141 netmask 255.255.255.224 nat (inside) 5 10.100.0 255.255.255.0 0 0 static (inside,outside) 209.165.20135 10.100.2 netmask 255.255.255.255 0 0 static (outside,inside) 10.100.3 209.165.20129 netmask 255.255.255.255 0 0 conduit permit ip 209.165.200 255.255.255.0 209.165.200 255.255.255.0!--- Alternativamente, en vez de conductos, dejamos las sentencias estáticas pero tenemos lo siguien access-list 101 permit ip 209.165.200 255.255.255.0 209.165.200 255.255.255.0 access-group 101 in interface outside Resolución de problemas En esta sección encontrará información que puede utilizar para solucionar problemas sobre la configuración. Si se utilizan pings ICMP para probar una traducción configurada, es probable que fallen y que parezca que la traducción no funciona. De forma predeterminada, el PIX bloquea los mensajes ICMP de las interfaces de menor seguridad a las interfaces de mayor seguridad. Esto sucede incluso se detecta un echo-reply como respuesta a un ping iniciado en el interior. Por lo tanto, asegúrese de utilizar otro método, como Telnet, para verificar la configuración. Después de realizar cambios en las reglas de traducción del PIX, es muy recomendable ejecutar el comando clear xlate. De esta manera se garantiza que las traducciones antiguas no interfieran con las recién configuradas y provoquen un funcionamiento incorrecto. Después de configurar o cambiar las traducciones estáticas entre servidores internos o de la zona DMZ y servidores externos, podría ser necesario borrar la caché ARP del router gateway o del resto de dispositivos a un salto de distancia. Información para recopilar si abre un caso del TAC Si aún necesita ayuda después de seguir los pasos anteriores para la resolución de problemas y desea abrir una incidencia en el Centro de Asistencia Técnica de Cisco, no olvide incluir la siguiente información para la resolución del problema de su firewall PIX.

Descripción del problema y detalles relevantes de la topología Pasos para la solución del problema antes de abrir la incidencia Resultado del comando show tech-support Resultado del comando show log después de la ejecución del comando logging buffered debugging o capturas de consola que muestran el problema (si están disponibles) Adjunte los datos recopilados para su caso en un texto sin formato (.txt), sin compactar. Puede adjuntar información a su incidencia transfiriéndola mediante la herramienta Case Query ( sólo para clientes registrados). Si no puede acceder a la herramienta Case Query y desea adjuntar información pertinente a su incidencia, puede enviarla como documento adjunto de un correo electrónico a attach@cisco.com, con el número de incidencia en el asunto del mensaje. 1992-2014 Cisco Systems Inc. Todos los Derechos Reservados. Fecha de Generación del PDF: 23 Junio 2008 http://www.cisco.com/cisco/web/support/la/7/74/74149_28.html

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback