Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Présentation de la commande alias pour le pare-feu Cisco Secure PIX Firewall

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Remarque: Cette fonctionnalité de commande a été remplacée par NAT, y compris les commandes nat et statiques par le mot clé de dn. Afin de configurer le DNS Doctoring avec NAT, référez-vous à PIX/ASA : Exécutez le DNS Doctoring avec l'exemple statique de commande et de configuration de deux interfaces NAT ou PIX/ASA : Exécutez le DNS Doctoring avec l'exemple statique de commande et de configuration de trois interfaces NAT. Pour des informations supplémentaires sur NAT, référez-vous à nat et utilisation nat, globaux, statiques, conduit, et commandes access-list et redirection de port sur PIX.


Contenu


Introduction

Ce document explique l'utilisation de la commande de pseudonyme sur le pare-feu Cisco Secure PIX.

La commande de pseudonyme a deux fonctions :

  • Vous pouvez utiliser la commande de pseudonyme d'exécuter le DNS Doctoring des réponses de DN d'un serveur DNS externe.

    • Dans le DNS Doctoring, le PIX change la réponse de DN d'un serveur DNS pour être une adresse IP différente que le serveur DNS réellement répondu pour un nom donné.

    • Ce processus est utilisé quand vous voulez que l'appel réel d'application du client interne se connecte à un serveur interne par son adresse IP interne.

  • Vous pouvez utiliser cette commande d'exécuter la destination NAT (dnat) d'une adresse IP de destination à une autre adresse IP.

    • Dans le dnat, le PIX change l'IP de destination d'un appel d'application d'une adresse IP à une autre adresse IP.

    • Ce processus est utilisé quand vous voulez l'appel réel d'application du client interne au serveur dans un réseau de périmètre (dmz) par son adresse IP externe. Ceci « ne soigne pas » les réponses de DN.

    Par exemple, si un hôte envoie un paquet à 99.99.99.99, vous pouvez utiliser la commande de pseudonyme de réorienter le trafic à une autre adresse, telle que 10.10.10.10. Vous pouvez également utiliser cette commande d'empêcher des conflits quand vous avez des adresses IP sur un réseau qui sont identiques que ceux sur un Internet ou un intranet différent. Consultez le pour en savoir plus de documentation PIX.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur les versions de logiciel 5.0.x et ultérieures de pare-feu Cisco Secure PIX.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Traduisez une adresse interne avec le DNS Doctoring

Dans le premier exemple, le web server a une adresse IP de 10.10.10.10. L'adresse IP globale de ce web server est 99.99.99.99.

Remarque: Le serveur DNS est sur l'extérieur. Vérifiez que le serveur DNS résout votre nom de domaine à l'adresse IP globale du web server en émettant une commande nslookup. Le résultat du nslookup sur le PC client est l'adresse IP interne du serveur (10.10.10.10). C'est parce que la réponse de DN obtient soigné pendant qu'elle traverse le PIX.

Notez également que pour que le fixup de DN fonctionne correctement, le proxy-arp doit être désactivé. Si vous utilisez la commande de pseudonyme pour le fixup de DN, proxy-arp de débronchement avec la commande d'internal_interface de noproxyarp de sysopt après que la commande de pseudonyme soit exécutée.

Remarque: Vous ne pouvez pas utiliser le DNS Doctoring tandis que la redirection de port est en service.

Diagramme du réseau

alias_01.gif

Si vous voulez que l'ordinateur avec l'adresse IP 10.10.10.25 accède à ce web server par son nom de domaine (www.mydomain.com), implémentez la commande de pseudonyme comme cette sortie affiche :

alias (inside) 10.10.10.10 99.99.99.99 255.255.255.255

!--- This command sets up DNS Doctoring. It is initiated from the clients in
!--- the "inside" network. It watches for DNS replies that contain
!--- 99.99.99.99. Then it replaces the 99.99.99.99 address with the 10.10.10.10
!--- address in the "DNS reply" sent to the client PC.

Ensuite, une traduction statique doit être créée pour le web server. Vous devez également donner n'importe qui sur l'accès Internet au web server sur le port 80 (HTTP) :

static(inside,outside) 99.99.99.99 10.10.10.10 netmask 255.255.255.255

!--- This command creates a static translation between the web server 
!--- real address of 10.10.10.10 to the global IP address 99.99.99.99.

Afin d'accorder l'autorisation pour l'accès, les commandes de liste d'accès d'utilisation, en tant que cette sortie affiche.

access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside

!--- These commands permit any outside user to access the web server on port 80. 

Si vous préférez la syntaxe plus ancienne, vous pouvez utiliser une commande de conduit pendant que cette sortie affiche.

conduit permit tcp host 99.99.99.99 eq www any

!--- This command permits any outside user to access the web server on port 80.

Traduisez une adresse DMZ avec la destination NAT

Si le web server est sur le réseau DMZ du PIX, la commande de pseudonyme doit être utilisée pour faire la destination NAT (dnat). Dans cet exemple, le web server sur le DMZ a une adresse IP de 192.168.100.10, et l'adresse IP extérieure pour ce web server est 99.99.99.99. Dnat d'utilisation pour traduire l'adresse IP 99.99.99.99 à 192.168.100.10 à l'appel réel au serveur. Les DN appel et réponse demeurent sans changement. Dans cet exemple la réponse de DN vue par le PC de client interne est l'adresse IP externe de 99.99.99.99, puisque ce n'est pas des DN soignés.

Diagramme du réseau

alias_02.gif

Dans cet exemple, l'intention est pour les ordinateurs dans le réseau de 10.10.10.0 /24 pour accéder à ce web server dans le DMZ par son nom de domaine externe (www.mydomain.com). Vous ne voulez pas que le PIX fasse le DNS Doctoring des réponses de DN. Au lieu de cela, vous voulez le PIX au dnat l'adresse IP (globale) externe du web server à sa « vraie » adresse DMZ (192.168.100.10).

Utilisez la commande de pseudonyme d'exécuter le dnat :

alias(inside) 99.99.99.99 192.168.100.10 255.255.255.255

!--- This sets up the Destination NAT. In this example the DNS reply is not
!--- doctored by the PIX because the external address (99.99.99.99) does not
!--- match the foreign IP address in the alias command (the second IP).
!--- But the call is "dnat-ed" because the destination address
!--- in the call matches the dnat IP address in the alias command (the first IP).

Remarque: Les adresses IP dans la commande de pseudonyme sont en ordre inverse comparé à l'exemple pour le DNS Doctoring.

Ensuite, une traduction statique doit être créée pour le web server. Vous devez également donner n'importe qui sur l'accès Internet au web server sur le port 80 (HTTP) :

static(dmz,outside) 99.99.99.99 192.168.100.10 netmask 255.255.255.255

!--- This command creates a static translation between the web server's
!--- real address 192.168.100.10 to the global IP address 99.99.99.99.

Afin d'accorder l'autorisation pour l'accès, les commandes de liste d'accès d'utilisation, en tant que cette sortie affiche.

access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside

!--- These commands permit any outside user to access the web server on port 80.

Si vous préférez la syntaxe plus ancienne, vous pouvez utiliser une commande de conduit pendant que cette sortie affiche.

conduit permit tcp host 99.99.99.99 eq www any

!--- This command permits any outside user to access the web server on port 80.

D'autres notes de configuration

  • L'interface dans la commande de pseudonyme doit être la « interface » dont les clients appellent.

  • S'il y a également des clients sur le DMZ, vous pouvez ajouter un autre pseudonyme pour l'interface DMZ (celui-ci est DNS Doctoring).

    Par exemple, supposez que de l'exemple précédent que vous voulez que d'autres clients sur le DMZ utilisent les DN externes mais appellent le web server par son adresse DMZ. Afin de faire ceci, créez une commande supplémentaire de pseudonyme, attachée à l'interface DMZ, des DN soignent les paquets de réponse de DN.

    alias (dmz) 192.168.100.10 99.99.99.99 255.255.255.255
    
    !--- This command sets up DNS Doctoring. It is initiated from the clients in
    !--- the "dmz" network. It watches for DNS replies that contain
    !--- 99.99.99.99, then replaces the 99.99.99.99 address with the 192.168.100.10 
    !--- address in the "DNS reply" sent to the client PC.
    
    
  • Vous pouvez avoir de plusieurs commandes de pseudonyme attaché à différentes interfaces sur le même PIX.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 6353