Segurança : Dispositivos de segurança Cisco PIX 500 Series

Entendendo o comando alias do Cisco Secure PIX Firewall

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Nota: Esta funcionalidade do comando foi substituída pelo NAT, incluindo o nat e os comandos static com a palavra-chave dns. A fim configurar o DNS Doctoring com NAT, refira o PIX/ASA: Execute o DNS Doctoring com das duas relações NAT o exemplo de configuração do comando static e ou o PIX/ASA: Execute o DNS Doctoring com o comando static e o exemplo de configuração de três relações NAT. Para obter informações adicionais sobre do NAT, refira nat e utilização nat, globais, estáticos, conduíte, e comandos access-list e redirecionamento de porta no PIX.


Índice


Introdução

Este documento explica a utilização do comando alias no Cisco Secure PIX Firewall.

O comando alias tem duas funções:

  • Você pode usar o comando alias executar o DNS Doctoring de respostas DNS de um servidor DNS externo.

    • No DNS Doctoring, o PIX muda a resposta de DNS de um servidor DNS para ser um endereço IP de Um ou Mais Servidores Cisco ICM NT diferente do que o servidor DNS respondido realmente para um nome concedido.

    • Este processo é usado quando você quer o atendimento do aplicativo real do cliente interno conectar a um servidor interno por seu endereço IP interno.

  • Você pode usar este comando executar o NAT de destino (dnat) de um endereço IP de destino a um outro endereço IP de Um ou Mais Servidores Cisco ICM NT.

    • No dnat, o PIX muda o IP de destino de uma chamada de aplicativo de um endereço IP de Um ou Mais Servidores Cisco ICM NT a um outro endereço IP de Um ou Mais Servidores Cisco ICM NT.

    • Este processo está usado quando você quer o atendimento do aplicativo real do cliente interno ao server em uma rede do perímetro (dmz) por seu endereço IP externo. Isto “não medica” as respostas DNS.

    Por exemplo, se um host envia um pacote para 99.99.99.99, você poderá usar o comando alias para redirecionar o tráfego para outro endereço, como 10.10.10.10. Você também pode usar esse comando para impedir conflitos quando tiver endereços IP em uma rede que forem iguais aos endereços na Internet ou em outra intranet. Consulte a documentação de PIX para mais informação.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada nos Software Release 5.0.x e Mais Recente do firewall PIX segura Cisco.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Traduza um endereço interno com o DNS Doctoring

No primeiro exemplo, o servidor de Web tem um endereço IP de Um ou Mais Servidores Cisco ICM NT de 10.10.10.10. O endereço IP global deste servidor de Web é 99.99.99.99.

Nota: O servidor DNS está na parte externa. Verifique se o servidor de DNS resolve o nome do seu domínio como o endereço IP global do servidor de Web emitindo um comando nslookup. O resultado do nslookup no PC cliente é o endereço IP interno do server (10.10.10.10). Isto é porque a resposta DNS obtém medicada enquanto passa com o PIX.

Igualmente note que para que os fixup DNS trabalhem corretamente, o Proxy-arp tem que ser desabilitado. Se você usa o comando alias para fixup DNS, Proxy-arp do desabilitação com o comando do internal_interface do noproxyarp do sysopt depois que o comando alias é executado.

Nota: Você não pode usar o DNS Doctoring quando o redirecionamento de porta estiver no uso.

Diagrama de Rede

alias_01.gif

Se você quer a máquina com o endereço IP 10.10.10.25 alcançar este servidor de Web por seu Domain Name (www.mydomain.com), execute o comando alias como esta saída mostra:

alias (inside) 10.10.10.10 99.99.99.99 255.255.255.255

!--- This command sets up DNS Doctoring. It is initiated from the clients in
!--- the "inside" network. It watches for DNS replies that contain
!--- 99.99.99.99. Then it replaces the 99.99.99.99 address with the 10.10.10.10
!--- address in the "DNS reply" sent to the client PC.

Em seguida, uma tradução estática deve ser criada para o servidor de Web. Você igualmente precisa de dar qualquer um na Internet o acesso ao servidor de Web na porta 80 (HTTP):

static(inside,outside) 99.99.99.99 10.10.10.10 netmask 255.255.255.255

!--- This command creates a static translation between the web server 
!--- real address of 10.10.10.10 to the global IP address 99.99.99.99.

A fim conceder a permissão para o acesso, use comandos de lista de acesso, como esta saída mostra.

access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside

!--- These commands permit any outside user to access the web server on port 80. 

Se você prefere a sintaxe mais velha, você pode usar um comando conduit enquanto esta saída mostra.

conduit permit tcp host 99.99.99.99 eq www any

!--- This command permits any outside user to access the web server on port 80.

Traduza um endereço DMZ com o NAT de destino

Se o servidor da Web estiver na rede DMZ do PIX, o comando alias deve ser usado para realizar a DNAT (NAT do destino). Neste exemplo, o servidor de Web no DMZ tem um endereço IP de Um ou Mais Servidores Cisco ICM NT de 192.168.100.10, e o endereço IP externo para este servidor de Web é 99.99.99.99. Use o dnat para traduzir o endereço IP 99.99.99.99 a 192.168.100.10 no atendimento real ao server. O atendimento e a resposta DNS permanecem inalterados. Neste exemplo a resposta de DNS considerada pelo cliente interno PC é o endereço IP 99.99.99.99 externo, desde que não é DNS medicado.

Diagrama de Rede

alias_02.gif

Neste exemplo, a intenção é para as máquinas na rede de 10.10.10.0 /24 para alcançar este servidor de Web no DMZ por seu Domain Name externo (www.mydomain.com). Você não quer o PIX fazer o DNS Doctoring das respostas DNS. Em lugar de, você quer o PIX ao dnat o endereço IP de Um ou Mais Servidores Cisco ICM NT (global) externo do servidor de Web a seu endereço “real” DMZ (192.168.100.10).

Use o comando alias executar o dnat:

alias(inside) 99.99.99.99 192.168.100.10 255.255.255.255

!--- This sets up the Destination NAT. In this example the DNS reply is not
!--- doctored by the PIX because the external address (99.99.99.99) does not
!--- match the foreign IP address in the alias command (the second IP).
!--- But the call is "dnat-ed" because the destination address
!--- in the call matches the dnat IP address in the alias command (the first IP).

Nota: Os endereços IP de Um ou Mais Servidores Cisco ICM NT no comando alias estão na ordem reversa comparada com o exemplo para o DNS Doctoring.

Em seguida, uma tradução estática deve ser criada para o servidor de Web. Você igualmente precisa de dar qualquer um na Internet o acesso ao servidor de Web na porta 80 (HTTP):

static(dmz,outside) 99.99.99.99 192.168.100.10 netmask 255.255.255.255

!--- This command creates a static translation between the web server's
!--- real address 192.168.100.10 to the global IP address 99.99.99.99.

A fim conceder a permissão para o acesso, use comandos de lista de acesso, como esta saída mostra.

access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside

!--- These commands permit any outside user to access the web server on port 80.

Se você prefere a sintaxe mais velha, você pode usar um comando conduit enquanto esta saída mostra.

conduit permit tcp host 99.99.99.99 eq www any

!--- This command permits any outside user to access the web server on port 80.

Outras notas de configuração

  • A relação no comando alias precisa de ser a “relação” de que os clientes chamam.

  • Se há igualmente clientes no DMZ, você pode adicionar um outro pseudônimo para a relação DMZ (este é DNS Doctoring).

    Por exemplo, supõe que do exemplo anterior que você quer outros clientes no DMZ usar o DNS externo mas chamar o servidor de Web por seu endereço DMZ. A fim fazer isto, crie um comando alias adicional, amarrado à relação DMZ, doutor DNS os pacotes de resposta DNS.

    alias (dmz) 192.168.100.10 99.99.99.99 255.255.255.255
    
    !--- This command sets up DNS Doctoring. It is initiated from the clients in
    !--- the "dmz" network. It watches for DNS replies that contain
    !--- 99.99.99.99, then replaces the 99.99.99.99 address with the 192.168.100.10 
    !--- address in the "DNS reply" sent to the client PC.
    
    
  • Você pode ter os comandos alias múltiplos amarrados às relações diferentes no mesmo PIX.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 6353