PIX/ASA 7.x: Переназначение Порта (Отправление) с

PIX/ASA 7.x: Переназначение Порта (Отправление) с
туземным, глобальным, статическим и списком доступа
Команды
Содержание
Введение
Предпосылки
Требования
Используемые компоненты
Связанные продукты
Соглашения
Сетевая диаграмма
Начальная конфигурация
Позвольте доступ за границу
Позвольте внутренний доступ хозяев к внешним сетям с NAT
Позвольте Внутренний Доступ Хозяев к Внешним Сетям с использованием PAT
Ограничьте внутренний доступ хозяев к внешним сетям
Позвольте доступ хозяев, которому не доверяют, хозяевам в вашей сети, которой доверяют,
Используйте ACLs на версиях PIX 7.0 и позже
Отключите NAT для определенных хозяев/Сетей
Переназначение порта (отправление) со статикой
Сетевая диаграмма - переназначение порта (отправление)
Частичная конфигурация PIX - переназначение порта
Ограничьте Сессию TCP/UDP, использующую Статичный
Время основанный список доступа
Информация, чтобы Собраться, если Вы Открываете Случай Технической поддержки
Соответствующая информация
Введение
Для увеличения безопасности при осуществлении версии 7.0 Прибора безопасности Cisco PIX важно понять, как пакеты проходят
между более высокими интерфейсами безопасности и более низкими интерфейсами безопасности при использовании туземного
контроля, туземного, глобального, статичного, список доступа и команды группы доступа. Этот документ объясняет различия
между этими командами и как формировать Переназначение Порта (Отправление) и внешние особенности Сетевого перевода адреса
(NAT) в версии 7.x программного обеспечения PIX с использованием интерфейса командной строки или Адаптивного диспетчера
устройств безопасности (ASDM).
Примечание: Некоторые варианты в ASDM 5.2 и позже могут казаться отличающимися, чем варианты в ASDM 5.1. Обратитесь к
документации ASDM для получения дополнительной информации.
Предпосылки
Требования
Обратитесь к Разрешению Доступа HTTPS для ASDM, чтобы позволить устройству формироваться ASDM.
Используемые компоненты
Информация в этом документе основана на этих версиях программного и аппаратного обеспечения:
Серийная версия 7.0 программного обеспечения Прибора безопасности Cisco PIX 500 и позже
Версия 5.x ASDM и позже
Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства,
используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы
понимаете потенциальное воздействие любой команды.
Связанные продукты
Можно также использовать эту конфигурацию с Cisco версия 7.x Прибора безопасности ASA и позже.
Соглашения
Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.
Сетевая диаграмма
Схемы обращения IP, используемые в этой конфигурации, не по закону routable в Интернете. Они - адреса RFC 1918, которые
использовались в окружающей среде лаборатории.
Начальная конфигурация
Интерфейсные имена:
соединяйте Ethernet 0 — nameif снаружи
интерфейсный ethernet 1 — nameif внутри
Примечание: Чтобы найти, что дополнительная информация о командах, используемых в этом документе, использует Инструмент
Поиска Команды (только зарегистрированные клиенты).
Позвольте доступ за границу
Доступ за границу описывает связи с более высокого интерфейса уровня безопасности на более низкий интерфейс уровня
безопасности. Это включает связи изнутри с внешней стороной, внутри с Демилитаризированными Зонами (DMZs) и DMZs к внешней
стороне. Это может также включать связи от одного DMZ до другого, пока исходный интерфейс связи имеет более высокий уровень
безопасности, чем место назначения. Рассмотрите конфигурацию "уровня безопасности" в интерфейсах PIX для подтверждения этого.
Этот пример показывает уровень безопасности и интерфейсную конфигурацию имени:
pix(config)#interface ethernet 0
pix(config-if)#security-level 0
pix(config-if)#nameif outside
pix(config-if)#exit
PIX 7.0 вводит команду туземного контроля. Можно использовать команду туземного контроля в способе конфигурации, чтобы
определить, требуется ли NAT для внешних коммуникаций. С позволенным контролем NAT конфигурация правил NAT требуется для
разрешения исходящего трафика, как имеет место с предыдущими версиями программного обеспечения PIX. Если контроль NAT
отключен (никакой туземный контроль), внутренние хозяева могут общаться с внешними сетями без конфигурации правила NAT.
Однако, если у вас есть внутренние хозяева, которые не имеют общественных адресов, все еще необходимо формировать NAT для тех
хозяев.
Для формирования контроля NAT с использованием ASDM выберите вкладку Configuration из ASDM Домашнее окно и выберите NAT
из меню особенностей.
Позвольте движение через брандмауэр без перевода: Этот выбор был введен в версии 7.0 (1) PIX. Когда этот выбор проверен,
никакая команда туземного контроля не выпущена в конфигурации. Эта команда означает, что никакой перевод не требуется для того,
чтобы пересечь через брандмауэр. Этот выбор обычно проверяется только, когда у внутренних хозяев есть общественные IP-адреса,
или сетевая топология не требует, чтобы внутренние хозяева были переведены к любому IP-адресу.
Если у внутренних хозяев есть частные IP-адреса, то этот выбор должен быть неконтролируем так, чтобы внутренние хозяева могли
быть переведены к общественному IP-адресу и получить доступ к Интернету.
Существует две политики, которая требуется для разрешения доступа за границу с контролем NAT. Первый является методом
перевода. Это может быть статическим переводом с использованием статической команды или динамическим переводом с
использованием туземного/глобального правила. Это не требуется, если контроль NAT отключен, и у ваших внутренних хозяев есть
общественные адреса.
Другое требование для доступа за границу (который применяется, позволен ли контроль NAT или отключен), то, если существует
существующий список контроля доступа (ACL). Если ACL присутствует, то он должен позволить исходный доступ хозяина к
конечному хосту с использованием определенного протокола и порта. По умолчанию нет никаких ограничений доступа на связи за
границу через PIX. Это означает что, если нет никакого ACL, формируемого для исходного интерфейса, то по умолчанию, связь за
границу позволена, если существует формируемый метод перевода.
Позвольте внутренний доступ хозяев к внешним сетям с NAT
Эта конфигурация предоставляет всем хозяевам на подсети 10.1.6.0/24 доступ к внешней стороне. Для выполнения этого используйте
туземные и глобальные команды, как демонстрирует эта процедура.
1. Определите внутреннюю группу, которую вы хотите включать для NAT.
nat (inside) 1 10.1.6.0 255.255.255.0
2. Определите бассейн адресов во внешнем интерфейсе, к которому переведены хозяева, определенные в заявлении NAT.
global (outside) 1 172.16.1.5-172.16.1.10 netmask 255.255.255.0
3. Используйте ASDM для создания глобального бассейна адреса. Выберите Конфигурацию> Особенности>, NAT и снятие
флажка Позволяют движение через брандмауэр без перевода адреса. Тогда нажмите Add для формирования Правила NAT.
4. Нажмите Manage Pools для определения адресов бассейна NAT.
5. Выберите Снаружи>, Добавляют и выбирают диапазон для определения бассейна адресов.
6. Войдите в свое адресное пространство, войдите в Бассейн ID и нажмите OK.
7. Выберите Конфигурацию> Особенности> NAT> Правила Перевода для создания правила перевода.
8. Выберите Внутри как Исходный Интерфейс и войдите в адреса, которые вы хотите к NAT.
9. Для Переводят Адрес в Интерфейсе, выбирают Снаружи, выбирают Динамичный, и выбирают Бассейн Адреса, который вы
просто формировали.
10. Нажать OK.
11. Перевод появляется в Правилах Перевода в Конфигурации> Особенности> NAT> Правила Перевода.
Теперь хозяева на внутренней части могут получить доступ к внешним сетям. Когда хозяева от внутреннего новичка связь с
внешней стороной, они переведены к адресу с глобального бассейна. Адреса назначены из глобального бассейна на сначала
прибывавшей, сначала переведенной основе и начинаются с самого низкого адреса в бассейне. Например, если хозяин 10.1.6.25
является первым для инициирования связи с внешней стороной, это получает адрес 172.16.1.5. Следующий хозяин получает
172.16.1.6 и так далее. Это не статический перевод, и времена перевода после периода бездеятельности, как определено
перерывом xlate hh:mm:ss команда. Если существуют больше внутренние хозяева, чем существуют адреса в бассейне,
заключительный адрес в бассейне используется для Перевода адреса порта (PAT).
Позвольте Внутренний Доступ Хозяев к Внешним Сетям с использованием PAT
Если вы хотите, чтобы внутренние хозяева разделили единственный общественный адрес для перевода, используйте PAT. Если
глобальное заявление определяет один адрес, тот адрес является переведенным портом. PIX позволяет один перевод порта за
интерфейс, и тот перевод поддерживает до 65,535 активных объектов xlate к единственному глобальному адресу. Закончите эти шаги
для разрешения внутреннего доступа хозяев к внешним сетям с использованием PAT.
1. Определите внутреннюю группу, которую вы хотите включать для PAT (когда вы используете 0 0, вы выбираете всех внутренних
хозяев.)
nat (inside) 1 10.1.6.0 255.255.255.0
2. Определите глобальный адрес, который вы хотите использовать для PAT. Это может быть интерфейсным адресом.
global (outside) 1 172.16.1.4 netmask 255.255.255.0
3. В ASDM выберите Конфигурацию> Особенности>, NAT и снятие флажка Позволяют движение через брандмауэр без
перевода адреса.
4. Нажмите Add для формирования правила NAT.
5. Выберите Управляют Бассейнами для формирования адреса PAT.
6. Выберите Снаружи>, Добавляют и нажимают Port Address Translation (PAT) для формирования единственного адреса для
PAT.
7. Войдите в адрес, Бассейн ID, и нажмите OK.
8. Выберите Конфигурацию> Особенности> NAT> Правила Перевода для создания правила перевода.
9. Выберите внутри как исходный интерфейс и войдите в адреса, которые вы хотите к NAT.
10. Для Переводят Адрес в Интерфейсе, выбирают снаружи, выбирают Динамичный, и выбирают Бассейн Адреса, который вы
просто формировали. Нажать OK.
11. Перевод появляется в Правилах Перевода в Конфигурации> Особенности> NAT> Правила Перевода.
Существует несколько вещей рассмотреть при использовании PAT.
IP-адреса, которые вы определяете для PAT, не могут быть в другом глобальном бассейне адреса.
PAT не работает с заявлениями H.323, пряча про запас nameservers, и Двухточечным протоколом туннелирования (PPTP). PAT
работает с Обслуживанием доменного имени (DNS), FTP и пассивным FTP, HTTP, почтой, удаленным вызовом процедуры (RPC),
rshell, TELNET, фильтрацией URL и traceroute за границу.
Не используйте PAT, когда необходимо будет запустить мультимедийные приложения через брандмауэр. Мультимедийные
приложения могут находиться в противоречии с отображениями порта, которые обеспечивает PAT.
В выпуске 4.2 (2) программного обеспечения PIX особенность PAT не работает с пакетами данных IP, которые прибывают в
обратном порядке. Выпуск 4.2 (3) программного обеспечения PIX исправляет эту проблему.
IP-адреса в бассейне глобальных адресов, определенных с глобальной командой, требуют обратных записей DNS, чтобы
гарантировать, что все внешние сетевые адреса доступны через PIX. Для создания обратных отображений DNS используйте
Указатель DNS (PTR) отчет в файле отображения адреса к имени для каждого глобального адреса. Без записей PTR места могут
испытать медленную или неустойчивую интернет-возможность соединения, и запросы FTP последовательно терпят неудачу.
Например, если глобальный IP-адрес 192.168.1.3, и доменное имя для Прибора безопасности PIX является pix.caguana.com, отчет
PTR:
3.1.1.175.in-addr.arpa. IN PTR
pix3.caguana.com
4.1.1.175.in-addr.arpa. IN PTR
pix4.caguana.com & so on.
Ограничьте внутренний доступ хозяев к внешним сетям
Если существует действительный метод перевода, определенный для исходного хозяина и никакого ACL, определенного для исходного
интерфейса PIX, то связь за границу позволена по умолчанию. Однако в некоторых случаях необходимо ограничить доступ за границу,
основанный на источнике, месте назначения, протоколе и/или порту. Для выполнения этого формируйте ACL со списком доступа,
командуют и применяют его к исходному взаимодействию PIX связи с командой группы доступа. Можно применить PIX 7.0 ACLs и в
прибывающих и в направлениях за границу. Эта процедура является примером, который позволяет доступ HTTP за границу для одной
подсети, но лишает всем другим хозяевам доступа HTTP к внешней стороне при разрешении всего другого движения IP для всех.
1. Определите ACL.
access-list acl_outbound permit tcp 10.1.6.0 255.255.255.0 any eq www
access-list acl_outbound deny tcp any any eq www
access-list acl_outbound permit ip any any
Примечание: ACLs PIX отличаются от ACLs на Cisco IOSΠrouters, в котором PIX не использует маску группового символа как
Cisco IOS. Это использует регулярную маску подсети в определении ACL. Как с маршрутизаторами Cisco IOS, PIX ACL имеет
неявное, "отрицают все" в конце ACL.
Примечание: Новые записи списка доступа будут приложены до конца существующего ACEs. При необходимости в
определенном ACE, обработанном сначала можно использовать ключевое слово line в списке доступа. Это - резюме команды в
качестве примера:
access-list acl_outbound line 1 extended permit tcp host 10.1.10.225 any
2. Примените ACL к внутреннему интерфейсу.
access-group acl_outbound in interface inside
3. Используйте ASDM для формирования первого входа списка доступа в шаге 1 для разрешения движения HTTP от 10.1.6.0/24.
Выберите Конфигурацию> Особенности> Политика безопасности> Правила Доступа.
4. Нажмите Add, войдите в информацию, поскольку это окно показывает, и нажать OK.
5. Как только вы входите в три записей списка доступа, выбираете Конфигурацию> Особенность> Политика безопасности>
Правила Доступа для показа этих правил.
Позвольте доступ хозяев, которому не доверяют, хозяевам в вашей сети, которой
доверяют,
Большинство организаций должно позволить доступ хозяев, которому не доверяют, к ресурсам в их сети, которой доверяют. Общим
примером является внутренний веб-сервер. По умолчанию PIX отрицает связи от внешних хозяев внутренних хозяев. Для разрешения
этой связи в режиме управления NAT используйте статическую команду с командами группы доступа и списком доступа. Если
контроль NAT отключен, только список доступа и команды группы доступа требуются, если не выполнен никакой перевод.
Примените ACLs к взаимодействиям с командой группы доступа. Эта команда связывает ACL с интерфейсом для исследования
движения, которое течет в особом направлении.
В отличие от туземных и глобальных команд, которые разрешают посещать внутренним хозяевам, статическая команда создает
двухсторонний перевод, который разрешает посещать внутренним хозяевам и внешним хозяевам в том, если вы добавляете
надлежащий ACLs/groups.
В примерах конфигурации PAT, показанных в этом документе, если внешний хозяин пытается соединиться с глобальным адресом, он
может использоваться тысячами внутренних хозяев. Статическая команда создает непосредственное отображение. Команда списка
доступа определяет, какая связь позволена внутреннему хозяину и всегда требуется, когда более низкий хозяин безопасности
соединяется с более высоким хозяином безопасности. Команда списка доступа является основанной и на порту и на протоколе и
может быть очень разрешающей или очень строгой, основанной на том, чего системный администратор хочет достигнуть.
Сетевая диаграмма в этом документе иллюстрирует использование этих команд для формирования PIX, чтобы позволить любым
хозяевам, которым не доверяют, соединяться с внутренним веб-сервером и позволять хозяину, которому не доверяют, 192.168.1.1
доступа к обслуживанию FTP на ту же самую машину.
Используйте ACLs на версиях PIX 7.0 и позже
Закончите эти шаги для версий программного обеспечения PIX 7.0 и позже с использованием ACLs.
1. Если контроль NAT позволен, определите статический перевод адреса для внутреннего веб-сервера к внешнему/глобальному
адресу.
static (inside, outside)
172.16.1.16 10.16.1.16
2. Определите, какие хозяева могут соединиться на который порты к вашей СЕТИ/FTP-СЕРВЕРУ.
access-list 101 permit tcp any host 172.16.1.16 eq www
access-list 101 permit tcp host 192.168.1.1 host 172.16.1.16 eq ftp
3. Примените ACL к внешнему интерфейсу.
access-group 101 in interface outside
4. Выберите Конфигурацию> Особенности> NAT и нажмите Add для создания этого статического перевода с использованием
ASDM.
5. Выберите внутри как исходный интерфейс и войдите во внутренний адрес, для которого вы хотите создать статический перевод.
6. Выберите Статичный и войдите во внешний адрес, к которому вы хотите перевести в области IP-адреса. Нажать OK.
7. Перевод появляется в Правилах Перевода при выборе Конфигурации> Особенности> NAT> Правила Перевода.
8. Используйте Ограничить Внутренний Доступ Хозяев к Внешней процедуре Сетей для входа в записи списка доступа.
Примечание: Будьте осторожны при осуществлении этих команд. Если вы осуществляете IP разрешения списка доступа 101
какая-либо любая команда, любой хозяин в сети, которой не доверяют, может получить доступ к любому хозяину в сети,
которой доверяют, с использованием IP, пока существует активный перевод.
Отключите NAT для определенных хозяев/Сетей
При использовании контроль NAT и имеете некоторые общественные адреса во внутренней сети, и вы хотите, чтобы те определенные
внутренние хозяева вышли во внешнюю сторону без перевода, можно отключить NAT для тех хозяев с туземным 0 или статическими
командами.
Это - пример туземной команды:
nat (inside) 0 10.1.6.0 255.255.255.0
Закончите эти шаги для выведения из строя NAT для определенных хозяев/сетей с использованием ASDM.
1. Выберите Конфигурацию> Особенности> NAT и нажмите Add.
2. Выберите внутри как исходный интерфейс и войдите во внутренний адрес/сеть, для которого вы хотите создать статический
перевод.
3. Выберите Динамичный и выберите тот же самый адрес для Бассейна Адреса. Нажать OK.
4. Новое правило появляется в Правилах Перевода при выборе Конфигурации> Особенности> NAT> Правила Перевода.
5. При использовании ACLs, которые позволяют более точный контроль движения, которое вы не должны переводить (основанный
на источнике/месте назначения), использовать эти команды.
access-list 103 permit ip 10.1.6.0 255.255.255.0 any
nat (inside) 0 access-list 103
6. Используйте ASDM и выберите Конфигурацию> Особенности> NAT> Правила Перевода.
7. Выберите Правила Освобождения Перевода и нажмите Add.
Этот пример показывает, как освободить движение от 10.1.6.0/24 сети до где угодно от того, чтобы быть переведенным.
8. Выберите Конфигурацию> Особенности> NAT> Правила Освобождения Перевода для показа новых правил.
9. Статическая команда для веб-сервера изменяется как этот пример шоу.
static (inside, outside) 10.16.1.16 10.16.1.16
10. От ASDM выберите Конфигурацию> Особенности> NAT> Правила Перевода.
11. Выберите Правила Перевода и нажмите Add. Войдите в информацию об адресе источника и выберите Статичный. Войдите в
тот же самый адрес в область IP-адреса.
12. Перевод появляется в Правилах Перевода при выборе Конфигурации> Особенности> NAT> Правила Перевода.
13. При использовании ACLs используйте эти команды.
access-list 102 permit tcp any host 10.16.1.16 eq www
access-group 102 in interface outside
Посмотрите Ограничить Внутренний Доступ Хозяев к Внешней части Сетей этого документа для получения дополнительной
информации о конфигурации ACLs в ASDM.
Отметьте различие между тем, когда вы используете туземный 0 при определении сети/маски в противоположность тому, когда
вы используете ACL, который использует сеть/маску, которая разрешает инициирование связей изнутри только. Использование
ACLs с туземными 0 разрешениями инициирование связей входящим или исходящим трафиком. Интерфейсы PIX должны быть
в различных подсетях для предотвращения проблем достижимости.
Переназначение порта (отправление) со статикой
В PIX 6.0 Переназначение Порта (Отправление) была добавлена опция, чтобы позволить внешним пользователям соединяться с особым
IP-адресом/, порт и иметь PIX перенаправляют движение к соответствующему внутреннему серверу/порту. Статическая команда была
изменена. Общий адрес может быть уникальным адресом, общим адресом PAT за границу, или разделенный с внешним интерфейсом.
Эта особенность доступна в PIX 7.0.
Примечание: из-за пространственных ограничений, команды показывают на двух линиях.
static [(internal_if_name, external_if_name)]
{global_ip|interface}local_ip [netmask mask] [max_conns
[emb_limit [norandomseq]]]
static [(internal_if_name, external_if_name)] {tcp|udp}
{global_ip|interface} global_port local_ip local_port
[netmask mask] [max_conns [emb_limit [norandomseq]]]
Примечание: Если статический NAT использует внешний IP (global_IP) адрес для перевода, то это могло бы вызвать перевод.
Поэтому, используйте интерфейс ключевого слова вместо IP-адреса в статическом переводе.
Эти Переназначения Порта (Forwardings) находятся в этом сетевом примере:
Прямой TELNET внешних пользователей просит к уникальному IP-адресу 172.18.124.99, который PIX перенаправляет к 10.1.1.6.
Прямой FTP внешних пользователей просят к уникальному IP-адресу 172.18.124.99, который PIX перенаправляет к 10.1.1.3.
Внешние пользователи, которых прямой TELNET просит к PAT, обращаются 172.18.124.208, который PIX перенаправляет к
10.1.1.4.
Прямой запрос TELNET внешних пользователей к PIX вне IP-адреса 172.18.124.216, который PIX перенаправляет к 10.1.1.5.
Прямые HTTP внешних пользователей просят к PIX вне IP-адреса 172.18.124.216, который PIX перенаправляет к 10.1.1.5.
Прямой порт внешних пользователей HTTP, к которому 8080 запросов к PAT обращаются 172.18.124.208, который PIX
перенаправляет к 10.1.1.7 портам 80.
Этот пример также блокирует доступ некоторых пользователей изнутри к внешней стороне с ACL 100. Этот шаг является
дополнительным. Все движение разрешено за границу без ACL в месте.
Сетевая диаграмма - переназначение порта (отправление)
Частичная конфигурация PIX - переназначение порта
Эта частичная конфигурация иллюстрирует использование Статического Переназначения Порта (Отправление). См. диаграмму сети
Port Redirection (Forwarding).
Частичный PIX 7.x конфигурация - переназначение порта (отправление)
fixup protocol ftp 21
!--- Use of an outbound ACL is optional.
access-list
access-list
access-list
access-list
100
100
100
100
permit tcp 10.1.1.0
deny tcp any any eq
permit tcp 10.0.0.0
permit udp 10.0.0.0
255.255.255.128 any eq www
www
255.0.0.0 any
255.0.0.0 host 172.18.124.100 eq domain
access-list
access-list
access-list
access-list
access-list
access-list
101
101
101
101
101
101
permit
permit
permit
permit
permit
permit
172.18.124.99 eq telnet
172.18.124.99 eq ftp
172.18.124.208 eq telnet
172.18.124.216 eq telnet
172.18.124.216 eq www
172.18.124.208 eq 8080
tcp
tcp
tcp
tcp
tcp
tcp
any
any
any
any
any
any
host
host
host
host
host
host
interface Ethernet0
nameif outside
security-level 0
ip address 172.18.124.216 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 10.1.1.2 255.255.255.0
!
global (outside) 1 172.18.124.208
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6
telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3
ftp netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4
telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface telnet 10.1.1.5
telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www 10.1.1.5
www netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7
www netmask 255.255.255.255 0 0
!--- Use of an outbound ACL is optional.
access-group 100 in interface inside
access-group 101 in interface outside
Примечание: Если PIX/ASA формируется с sysopt noproxyarp вне команды, то это не позволяет брандмауэру делать proxyarp и
статические переводы NAT в PIX/ASA. Для решения этого удалите sysopt noproxyarp вне команды в конфигурации PIX/ASA и затем
обновите записи ARP при помощи бесплатного ARP. Это позволяет статическим записям NAT хорошо работать.
Эта процедура является примером того, как формировать Переназначение Порта (Отправление), которое позволяет внешним
пользователям, которых прямой TELNET просит к уникальному IP-адресу 172.18.124.99, который PIX перенаправляет к 10.1.1.6.
1.
2.
3.
4.
5.
Используйте ASDM и выберите Конфигурацию> Особенности> NAT> Правила Перевода.
Выберите Правила Перевода и нажмите Add.
Для Исходного Хозяина/Сети войдите в информацию для внутреннего IP-адреса.
Для Переводят Обращение К, выбирают Статичный, входят во внешний IP-адрес и проверяют порт Перенаправления.
Войдите в информацию о порте предварительного перевода и постперевода (этот пример поддерживает порт 23). Нажать OK.
Перевод появляется в Правилах Перевода при выборе Конфигурации> Особенности> NAT> Правила Перевода.
Ограничьте Сессию TCP/UDP, использующую Статичный
Если вы хотите ограничить TCP, или сессии UDP к внутреннему серверу, помещенному в PIX/ASA, то используйте статическую
команду.
Определяет максимальное количество одновременного TCP и связей UDP для всей подсети. Неплатеж 0, что означает неограниченные
связи (Неработающие связи закрыты после неработающего перерыва, определенного перерывом, ведут команду.). Этот выбор не
относится вне NAT. Прибор безопасности только отслеживает связи с более высокого интерфейса безопасности на более низкий
интерфейс безопасности.
Ограничение числа эмбриональных связей защищает вас от нападения DoS. Прибор безопасности использует эмбриональный предел
для вызова Точки пересечения TCP, которая защищает внутренние системы от нападения DoS, совершенного путем наводнения
взаимодействия с TCP SYN пакеты. Эмбриональная связь является запросом связи, который не закончил необходимое рукопожатие
между источником и местом назначения. Этот выбор не относится вне NAT. Особенность точки пересечения TCP применяется только
к хозяевам или серверам на более высоком уровне безопасности. При установлении эмбрионального предела для вне NAT
эмбриональный предел проигнорирован.
Например:
ASA(config)#static (inside,outside) tcp 10.1.1.1 www 10.2.2.2 www tcp 500 100
!--!--!--!--!---
The maximum number of simultaneous tcp connections the local IP
hosts are to allow is 500, default is 0 which means unlimited
connections. Idle connections are closed after the time specified
by the timeout conn command
The maximum number of embryonic connections per host is 100.
%PIX-3-201002: Слишком много связей на {static|xlate} global_address! econns nconns
Это - связанное со связью сообщение. Когда максимальное количество связей с указанным статическим адресом было превышено, это
сообщение зарегистрировано. econns переменная является максимальным количеством эмбриональных связей, и nconns является
максимальным количеством связей, разрешенных для статического или xlate.
Рекомендуемое действие должно использовать шоу статическая команда для проверки предела, наложенного на связи со статическим
адресом. Предел конфигурируем.
%ASA-3-201011: предел Связи превысил 1000/1000 для прибывающего пакета от 10.1.26.51/2393 до 10.0.86.155/135 в интерфейсе
Снаружи
Это сообщение об ошибке происходит из-за ошибки ID CSCsg52106 Cisco (только зарегистрированные клиенты). Обратитесь к этой
ошибке для получения дополнительной информации.
Время основанный список доступа
Создание диапазона времени не ограничивает доступ к устройству. Команда диапазона времени определяет диапазон времени только.
После того, как диапазон времени определен, можно приложить его к правилам движения или действию.
Для осуществления основанного на времени ACL используйте команду диапазона времени для определения определенных времен дня
и недели. Тогда используйте с расширенной командой диапазона времени списка доступа для закрепления диапазона времени с
ACL.
Диапазон времени полагается на системные часы прибора безопасности. Однако особенность работает лучше всего с синхронизацией
NTP.
После того, как вы создали диапазон времени и вошли в способ конфигурации диапазона времени, можно определить параметры
диапазона времени с абсолютными и периодическими командами. Для восстановления настроек по умолчанию для диапазона
времени, командуют абсолютными и периодическими ключевыми словами, используют команду по умолчанию в способе
конфигурации диапазона времени.
Для осуществления основанного на времени ACL используйте команду диапазона времени для определения определенных времен дня
и недели. Тогда используйте с расширенной командой списка доступа для закрепления диапазона времени с ACL. Следующий
пример связывает ACL под названием "Продажи" диапазону времени под названием "Мгновения Нью-Йорка":
Этот пример создает диапазон времени под названием "Мгновения Нью-Йорка" и входит в способ конфигурации диапазона времени:
hostname(config)#time-range New_York_Minute
hostname(config-time-range)#periodic weekdays 07:00 to 19:00
hostname(config)#access-list Sales line 1 extended deny ip any any time-range New_York_Minute
hostname(config)#access-group Sales in interface inside
Информация, чтобы Собраться, если Вы Открываете Случай Технической
поддержки
Если вы все еще нуждаетесь в помощи и хотите открыть случай с Cisco
Техническая поддержка, несомненно будут включать эту информацию для
поиска неисправностей вашего Прибора безопасности PIX.
Описание проблемы и соответствующие детали топологии.
Шаги, которые вы раньше расследовали перед открытием случая.
Продукция от выставочной команды технической поддержки.
Продукция от выставочной команды регистрации после регистрации,
буферизированной отлаживающий команду, бежала, или захваты
пульта, которые демонстрируют проблему (при наличии).
Приложите собранные данные к своему случаю в незастегнутом формате
открытого текста (.txt). Можно приложить информацию к случаю в
Инструменте Запроса на обслуживание TAC (только зарегистрированные
клиенты). Если вы не можете получить доступ к Инструменту Запроса на
обслуживание TAC (только зарегистрированные клиенты), можно послать
информацию в почтовом приложении к [email protected] с номером дела в
строке темы сообщения.
Соответствующая информация
Ссылки команды PIX
Запросы о комментариях (RFCs)
Технические примечания по поиску и устранению неисправностей
© 1992-2014 Cisco Systems, Inc. Все права защищены.
Дата генерации PDF файла: 20 сентября 2014
http://www.cisco.com/cisco/web/support/RU/104/1041/1041770_pix70-asa-portredir.html