IP : Cisco PIX 500 シリーズ セキュリティ アプライアンス

Cisco Secure PIX ファイアウォールでの alias コマンドの概要

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2002 年 4 月 23 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


注: このコマンド 機能性は dns キーワードと NAT および static コマンドを含む NAT と、取替えられました。 治療する DNS を NAT で設定するために、PIX/ASA を参照して下さい: 治療する static コマンドおよび 2 つの NAT インターフェイス 設定例PIX/ASA と DNS を行って下さい: 治療する static コマンドおよび 3 つの NAT インターフェイス 設定例と DNS を行って下さい。 NAT についてのその他の情報に関しては、NAT を PIX の使用 NAT、global, static, conduit, および access-list コマンドおよびポートリダイレクション参照すれば。


目次


概要

この文書では、Cisco Secure PIX ファイアウォールでの alias コマンドの使用方法を説明します。

alias コマンドに 2 機能があります:

  • 外部 DNSサーバからの DNS 応答の DNS 治療を行う alias コマンドを使用できます。

    • 治療する DNS では PIX は DNSサーバから実際に所定の名前のために答えられる DNSサーバより別の IP アドレスであるために DNS 応答を変更します。

    • このプロセスは内部クライアントからの実際のアプリケーション呼び出しに内部 IP アドレスによって内部サーバに接続してほしいとき使用されます。

  • 別の IP アドレスに 1 宛先 IP アドレスの送信先 NAT (dnat)を行うのにこのコマンドを使用できます。

    • dnat では、PIX は 1 IP アドレスから別の IP アドレスにアプリケーション呼び出しの宛先IP を変更します。

    • このプロセスは外部 IPアドレスによって内部クライアントから境界(dmz)ネットワークのサーバに実際のアプリケーション呼び出しがほしいと思うとき使用されます。 この場合は、DNS 応答は「Doctoring」されません。

    たとえば、ホストがパケットを 99.99.99.99 に送信したときに、alias コマンドを使用すると、トラフィックを 10.10.10.10 などの別のアドレスにリダイレクトできます。 また、このコマンドによって、ネットワーク上の IP アドレスが、インターネット上または別のイントラネット上の IP アドレスと同一の場合に競合の発生を防止できます。 詳細については PIXドキュメンテーションを参考にして下さい。

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

この文書に記載されている情報は Cisco Secure PIX Firewall ソフトウェアリリース 5.0.x およびそれ以降に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

DNS 治療と内部アドレスを変換して下さい

最初の例では、Webサーバに 10.10.10.10 の IP アドレスがあります。 この WebサーバのグローバルIPアドレスは 99.99.99.99 です。

DNS サーバは外部に設定されています。 nslookup コマンドを発行して、DNS サーバが各自のドメイン名をウェブ サーバのグローバル IP アドレスに変換することを確認します。 クライアントPC の nslookup の結果はサーバの内部 IP アドレスです(10.10.10.10)。 これはそれとして治療される DNS 応答 gets が PIX を通るという理由によります。

またきちんとはたらく DNS fixup のために proxy-arp が無効でなければならないことに注目して下さい。 DNS fixup に alias コマンドを使用する場合、alias コマンドが実行された後 sysopt noproxyarp internal_interface コマンドで proxy-arp をディセーブルにして下さい。

ポートリダイレクションが使用中の間、治療している DNS を使用できません。

ネットワーク図

alias_01.gif

IP アドレス 10.10.10.25 が付いているマシンでドメイン名(www.mydomain.com)を使用してこの Webサーバにアクセスする場合この出力が示すように alias コマンドを実行して下さい:

alias (inside) 10.10.10.10 99.99.99.99 255.255.255.255

!--- This command sets up DNS Doctoring. It is initiated from the clients in
!--- the "inside" network. It watches for DNS replies that contain
!--- 99.99.99.99. Then it replaces the 99.99.99.99 address with the 10.10.10.10
!--- address in the "DNS reply" sent to the client PC.

次に、スタティック トランスレーションを Webサーバに作成する必要があります。 またポート 80 (http)の Webサーバにインターネット上の任意のユーザ アクセスを可能にする必要があります:

static(inside,outside) 99.99.99.99 10.10.10.10 netmask 255.255.255.255

!--- This command creates a static translation between the web server 
!--- real address of 10.10.10.10 to the global IP address 99.99.99.99.

アクセスのための権限を、使用 access-listコマンドは、この出力として与えるために示します。

access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside

!--- These commands permit any outside user to access the web server on port 80. 

より古い構文を使用したい場合、この出力が示すと同時に conduit コマンドを使用できます。

conduit permit tcp host 99.99.99.99 eq www any

!--- This command permits any outside user to access the web server on port 80.

送信先 NAT と DMZ アドレスを変換して下さい

ウェブ サーバが PIX の DMZ ネットワーク上にある場合は、送信先 NAT(dnat)を実行するのに alias コマンドを使用する必要があります。 この例では、DMZ の Webサーバに 192.168.100.10 の IP アドレスがあり、この Webサーバのための外部 IP アドレスは 99.99.99.99 です。 サーバに実際のコールの 192.168.100.10 への IP アドレス 99.99.99.99 を変換するのに dnat を使用して下さい。 DNS コールおよび応答は変更されません。 この例では内部クライアントによって表示される DNS 応答は PC それが治療される DNS ではないので、外部 IP アドレス 99.99.99.99 です。

ネットワーク図

alias_02.gif

この例では、インテントは外部ドメイン名(www.mydomain.com)を使用して DMZ のこの Webサーバにアクセスする 10.10.10.0 /24 ネットワークのマシンのためです。 PIX に DNS 応答の DNS 治療をしてほしくないです。 その代り、dnat に「実」DMZ アドレスに PIX が Webサーバの外部(グローバル な) IP アドレスほしいと思います(192.168.100.10)。

dnat を行う alias コマンドを使用して下さい:

alias(inside) 99.99.99.99 192.168.100.10 255.255.255.255

!--- This sets up the Destination NAT. In this example the DNS reply is not
!--- doctored by the PIX because the external address (99.99.99.99) does not
!--- match the foreign IP address in the alias command (the second IP).
!--- But the call is "dnat-ed" because the destination address
!--- in the call matches the dnat IP address in the alias command (the first IP).

: alias コマンドの IP アドレスは DNS 治療のための例と比較される逆順にあります。

次に、スタティック トランスレーションを Webサーバに作成する必要があります。 またポート 80 (http)の Webサーバにインターネット上の任意のユーザ アクセスを可能にする必要があります:

static(dmz,outside) 99.99.99.99 192.168.100.10 netmask 255.255.255.255

!--- This command creates a static translation between the web server's
!--- real address 192.168.100.10 to the global IP address 99.99.99.99.

アクセスのための権限を、使用 access-listコマンドは、この出力として与えるために示します。

access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside

!--- These commands permit any outside user to access the web server on port 80.

より古い構文を使用したい場合、この出力が示すと同時に conduit コマンドを使用できます。

conduit permit tcp host 99.99.99.99 eq www any

!--- This command permits any outside user to access the web server on port 80.

その他の構成ガイド

  • alias コマンドのインターフェイスはクライアントが呼出しを行う「インターフェイス」である必要があります。

  • また DMZ にクライアントがある場合、DMZ インターフェイスのための別のエイリアスを追加できます(この 1 つは治療する DNS です)。

    たとえば DMZ の他のクライアントに外部 DNS を使用するために DMZ アドレスによって Webサーバを呼出してほしいこと、と前例から仮定して下さい。 これをするために、DMZ インターフェイスに接続するもう 1 つの alias コマンドを DNS 医者 DNS リプライパケット作成して下さい。

    alias (dmz) 192.168.100.10 99.99.99.99 255.255.255.255
    
    !--- This command sets up DNS Doctoring. It is initiated from the clients in
    !--- the "dmz" network. It watches for DNS replies that contain
    !--- 99.99.99.99, then replaces the 99.99.99.99 address with the 192.168.100.10 
    !--- address in the "DNS reply" sent to the client PC.
    
    
  • 同じ PIX の異なるインターフェイスに接続するように、複数の alias コマンドを作成できます。


関連情報


Document ID: 6353