Segurança : Dispositivos de segurança Cisco PIX 500 Series

Configurando o PIX Firewall com acesso do mail server no DMZ

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Esta amostra de configuração demonstra como instalar o PIX Firewall para acessar um servidor de correio localizado na rede DMZ.

Nota: A inspeção de SMTP configurada neste documento não é compatível com conexões ESMTP aos server tais como o Microsoft Exchange. Não configurar a inspeção de SMTP se você usa um mail server que confie no ESMTP. Alternativamente, versão de software de PIX 7.0 e apoios mais atrasados S TP e inspeção de ESMTP.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • PIX Firewall 515

  • Liberação de software de firewall de PIX 6.3(3)

  • Cisco 3640 Router

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede.

/image/gif/paws/12430/mailserver.gif

Configurações

Este documento usa esta configuração.

Configuração de PIX
PIX Version 6.3(3)
interface ethernet0 10baset
interface ethernet1 10baset
interface ethernet2 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security10
enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names

!--- This access list allows hosts to access 
!--- IP address 209.168.200.227 for the SMTP port.
 
access-list outside_int permit tcp any host 209.165.200.227 eq smtp 

!--- This access list allows host IP 172.16.31.10
!--- sourcing the SMTP port to access any host.
 
access-list dmz_int permit tcp host 172.16.31.10 eq smtp any 
pager lines 24
logging on
logging buffered debugging
logging trap debugging
logging host inside 10.1.1.55
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 209.165.200.225 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0
ip address dmz 172.16.31.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address dmz
pdm history enable
arp timeout 14400
global (outside) 1 209.165.200.228-209.165.200.253 netmask 255.255.255.224
global (outside) 1 209.165.200.254
nat (inside) 1 10.1.1.0 255.255.255.0 0 0

!--- This network static does not use address translation. 
!--- Inside hosts appear on the DMZ with their own addresses.

static (inside,dmz) 10.1.1.0 10.1.1.0 netmask 255.255.255.0 0 0 

!--- This network static uses address translation. 
!--- Hosts accessing the mail server from the outside 
!--- use the 209.165.200.227 address.

static (dmz,outside) 209.165.200.227 172.16.31.10 netmask 255.255.255.255 0 0 
access-group outside_int in interface outside
access-group dmz_int in interface dmz
route outside 0.0.0.0 0.0.0.0 209.165.200.226 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
crypto map mymap 30 ipsec-isakmp
! Incomplete 
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:8c1aa55b41d6855f6745e04ce6eea614
: end
[OK]

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Comandos para Troubleshooting

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debugar o traço ICMP — Mostra se os pedidos do Internet Control Message Protocol (ICMP) dos anfitriões alcançam o PIX. A fim executar isto debugar, você precisam de adicionar o comando access-list permitir o ICMP em sua configuração.

  • eliminação de erros do logging buffer — Mostra as conexões que são estabelecidas e negadas aos anfitriões que atravessam o PIX. A informação é armazenada no buffer de registro PIX, e a saída pode ser considerada com o comando show log.

    Refira estabelecer o Syslog PIX para obter mais informações sobre de como estabelecer o registo.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 12430