セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA: 単一の内部ネットワークを持つ PIX Firewall の設定とトラブルシューティング

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


対話式: この文書では、個別のユーザに合わせたシスコ デバイスの分析を行います。


目次


概要

この設定例では、インターネットから企業ネットワークを区別するようにセキュリティ アプライアンスを設定する方法を示します。

前提条件

要件

内部ネットワークに Webサーバ、メール サーバおよびインターネットのユーザがアクセスできる FTP サーバがあります。 外部ユーザからの、内部ネットワーク上のホストに対するその他すべてのアクセスは拒否されます。

  • Webサーバの実 アドレス- 192.168.1.4; インターネット アドレス 10.1.1.3

  • メール サーバの実 アドレス- 192.168.1.15; インターネット アドレス 10.1.1.4

  • FTP サーバの実 アドレス- 192.168.1.10; インターネット アドレス 10.1.1.5

内部ネットワークのすべてのユーザは、インターネットに制限なくアクセスできます。 内部ユーザはインターネットのデバイスを ping することができますがインターネットのユーザは内部のデバイスを ping することができません。

この設定で使用される会社は ISP (10.1.1.x)からのクラス A ネットワークを購入しました。 .1 および .2 アドレスはそれぞれ PIX の外部ルータおよび outside インターフェイスのために予約済みです。 アドレス .3 - .5 はインターネットのユーザがアクセスできる内部サーバのために使用されます。 アドレス .6 - .14 は外部ユーザがアクセスできるサーバのために今後使用できるように予約されます。

例の PIXファイアウォールに 4 つのネットワーク インターフェース カードがありますが、それらの 2 つだけは使用中です。 PIX は 192.168.1.220 の IP アドレスの内部の syslog サーバに syslog を設定されます(ネットワークダイアグラムで示されていない)送信 するために。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco PIX Firewall 535

  • Cisco PIX Firewall ソフトウェア リリース 6.x 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この設定は、バージョン 7.x 以降で稼動する Cisco 5500 シリーズ適応型セキュリティ アプライアンスでも使用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/13825/single-net-1.gif

: この設定で使用している IP アドレッシング方式は、インターネット上で正式にルーティング可能なものではありません。 ラボ 環境で使用されたそれらは RFC 1918 <http://www.ietf.org/rfc/rfc1918.txt?number=1918> アドレスです。

PIX 6.x の設定

注: デフォルト以外のコマンドは太字で表示されます。

PIX
Building configuration... 
: Saved 
: 
PIX Version 6.3(3) 
nameif gb-ethernet0 outside security0 
nameif gb-ethernet1 inside security100 
nameif ethernet0 intf2 security10 
nameif ethernet1 intf3 security15 
enable password 8Ry2YjIyt7RRXU24 encrypted 
passwd 2KFQnbNIdI.2KYOU encrypted 
hostname pixfirewall 


!--- Output Suppressed




!--- Create an access list to allow pings out 
!--- and return packets back in. 

access-list 100 permit icmp any any echo-reply  
access-list 100 permit icmp any any time-exceeded  
access-list 100 permit icmp any any unreachable  


!--- Allows anyone on the Internet to connect to 
!--- the web, mail, and FTP servers. 

access-list 100 permit tcp any host 10.1.1.3 eq www  
access-list 100 permit tcp any host 10.1.1.4 eq smtp  
access-list 100 permit tcp any host 10.1.1.5 eq ftp 
pager lines 24 


!--- Enable logging. 

logging on 
no logging timestamp 
no logging standby 
no logging console 
no logging monitor 


!--- Enable error and more severe syslog messages 
!--- to be saved to the local buffer. 

logging buffered errors 


!--- Send notification and more severe syslog messages
!--- to the syslog server. 

logging trap notifications 
no logging history 
logging facility 20 
logging queue 512 


!--- Send syslog messages to a syslog server 
!--- on the inside interface. 

logging host inside 192.168.1.220 


!--- All interfaces are shutdown by default. 

interface gb-ethernet0 1000auto 
interface gb-ethernet1 1000auto 
interface ethernet0 auto shutdown 
interface ethernet1 auto shutdown 
mtu outside 1500 
mtu inside 1500 
mtu intf2 1500 
mtu intf3 1500 
ip address outside 10.1.1.2 255.255.255.0 
ip address inside 192.168.1.1 255.255.255.0 
ip address intf2 127.0.0.1 255.255.255.255 
ip address intf3 127.0.0.1 255.255.255.255 
ip audit info action alarm 
ip audit attack action alarm 
no failover 
failover timeout 0:00:00 
failover poll 15 
failover ip address outside 0.0.0.0 
failover ip address inside 0.0.0.0 
failover ip address intf2 0.0.0.0 
failover ip address intf3 0.0.0.0 
arp timeout 14400 


!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.

global (outside) 1 10.1.1.15-10.1.1.253 


!--- Define a Port Address Translation (PAT) address that 
!--- is used once the NAT pool is exhausted.

global (outside) 1 10.1.1.254 


!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.

nat (inside) 1 0.0.0.0 0.0.0.0 0 0 


!--- Define a static translation for the internal 
!--- web server to be accessible from the Internet.

static (inside,outside) 10.1.1.3 192.168.1.4 
   netmask 255.255.255.255 0 0 


!--- Define a static translation for the internal 
!--- mail server to be accessible from the Internet.

static (inside,outside) 10.1.1.4 192.168.1.15 
   netmask 255.255.255.255 0 0 


!--- Define a static translation for the internal 
!--- FTP server to be accessible from the Internet.

static (inside,outside) 10.1.1.5 192.168.1.10 
   netmask 255.255.255.255 0 0 


!--- Apply access list 100 to the outside interface.

access-group 100 in interface outside 


!--- Define a default route to the ISP router.

route outside 0.0.0.0 0.0.0.0 10.1.1.1 1 


!--- Output Suppressed




!--- Allow the host 192.168.1.254 to be able to 
!--- Telnet to the inside of the PIX. 

telnet 192.168.1.254 255.255.255.255 inside 
: end 
[OK] 


!--- Output Suppressed

PIX/ASA 7.x およびそれ以降の設定

注: デフォルト以外のコマンドは太字で表示されます。

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.1.1.2 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0
!


!--- Output Suppressed



!--- Create an access list to allow pings out 
!--- and return packets back in.


access-list 100 extended permit icmp any any echo-reply
access-list 100 extended permit icmp any any time-exceeded
access-list 100 extended permit icmp any any unreachable



!--- Allows anyone on the Internet to connect to 
!--- the web, mail, and FTP servers. 


access-list 100 extended permit tcp any host 10.1.1.3 eq www
access-list 100 extended permit tcp any host 10.1.1.4 eq smtp
access-list 100 extended permit tcp any host 10.1.1.5 eq ftp
pager lines 24


!--- Enable logging.


logging enable



!--- Enable error and more severe syslog messages 
!--- to be saved to the local buffer. 


logging buffered errors



!--- Send notification and more severe syslog messages
!--- to the syslog server. 


logging trap notifications



!--- Send syslog messages to a syslog server 
!--- on the inside interface. 



logging host inside 192.168.1.220

mtu outside 1500
mtu inside 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400



!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.


global (outside) 1 10.1.1.15-10.1.1.253



!--- Define a Port Address Translation (PAT) address that 
!--- is used once the NAT pool is exhausted.


global (outside) 1 10.1.1.254



!--- !--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.


nat (inside) 1 0.0.0.0 0.0.0.0



!--- Define a static translation for the internal 
!--- web server to be accessible from the Internet.


static (inside,outside) 10.1.1.3 192.168.1.4 netmask 255.255.255.255



!--- Define a static translation for the internal 
!--- mail server to be accessible from the Internet.


static (inside,outside) 10.1.1.4 192.168.1.15 netmask 255.255.255.255



!--- Define a static translation for the internal 
!--- FTP server to be accessible from the Internet.


static (inside,outside) 10.1.1.5 192.168.1.10 netmask 255.255.255.255



!--- Apply access list 100 to the outside interface.


access-group 100 in interface outside



!--- !--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.1.1.1 1


!--- Output Suppressed



!--- Allow the host 192.168.1.254 to be able to 
!--- Telnet to the inside of the PIX. 


telnet 192.168.1.254 255.255.255.255 inside
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
!
: end


!--- Output Suppressed

注: PIX/ASA の NAT および PAT の設定に関する詳細については、PIX/ASA 7.x NAT および PAT の設定例を参照して下さい。

PIX/ASA のアクセス リストの設定に関する詳細については、PIX/ASA 7.x を参照して下さい: nat、global、static および access-list コマンドを使用したポート リダイレクション(フォワーディング)』を参照してください。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

  • show interface — インターフェイス統計情報を表示します。

  • トラフィックが PIX によって渡すかどの位 show traffic —示します。

  • show xlate — PIX によって構築される現在の変換を示します。

  • show conn — PIX によって現在の接続を表示します。

    注: PIX/ASA を解決する方法に関する詳細については解決します PIX および ASA を通して接続を参照して下さい。

トラブルシューティングのためのコマンド

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug icmp trace — PIX へのまたはによるすべてのインターネット制御メッセージ プロトコル (ICMP) エコー要求および応答を示します。

よくある問題のトラブルシューティング

Ciscoデバイスからの write terminal コマンドの出力がある場合、潜在的な問題および修正を表示するのに Output Interpreter ツール登録ユーザのみ)を使用できます。

  • NATプール(および PAT アドレス-インターフェイス PAT を除く…)ネットワークのあらゆるその他のデバイスによって使用しない IP アドレスを使用する必要があります。 これにはインターフェイスで使用されるスタティック アドレス(変換のために)またはアドレスが含まれています。

    PIX ソフトウェア バージョン 5.2 または それ以降がある場合、PIX の outside インターフェイス アドレスは PAT に使用することができます。 これは利用可能 な 1 つの外部アドレスだけあればまたは IPアドレス空間を節約する必要があります役立ちます。

    outside インターフェイス アドレスの PAT を有効に するために、グローバル な NATプールおよび PAT アドレスを設定から取除き、PAT アドレスとして outside インターフェイス IP アドレスを使用して下さい。

    ip address outside 10.1.1.2
    nat (inside) 1 0 0 global (outside) 1 interface

    注: いくつかのマルチメディアアプリケ− ションは PAT によって提供されるポートマッピングと競合できます。 PAT は既存のコマンドを使用しません。 PAT は Domain Name System (DNS)を、FTP およびパッシブFTP、HTTP、電子メール、Remote Procedure Call (RPC)、リモートシェル、Telnet、URLフィルタリングおよびアウトバウンドトレースルート使用します。 複数の PIXバージョンは複数のバージョンの PAT の H.323 をサポートします。 PAT サポートの H.323v2 はバージョン 6.2.2 に PAT サポートの H.323v3 および v4 はバージョン 6.3 に追加されたが、追加されました。

  • サーバに割り当てアクセスにアクセス リスト(かコンジットが)なければなりません。 インバウンドアクセスはデフォルトで許可されません。

    注: conduit コマンドは access-list コマンドによって置き換えられました。 Cisco は未来の互換性を維持する conduit コマンドからの設定を移行することを推奨します。

  • アクセス リストの後、暗黙の deny IP があらゆるあらゆるコマンドあります。

  • DNSサーバが PIX の外部にあり、内部ユーザが DNS名を用いる内部サーバにアクセスしたいと思えば場合 alias コマンドが DNSサーバからの DNS 応答を治療するのに使用する必要があります。

  • これらのよくある問題を検討した後それでも問題があったら、これらのステップを完了して下さい:

    1. 2 つのデバイス間の IP接続があることを確認して下さい。 これをすることは PIX に、コンソール接続を行うか、または PIX に Telnet で接続します。 terminal monitor および debug icmp trace コマンドを発行して下さい。

    2. 内部ユーザにインターネットのサーバにアクセスする問題がある場合アクセスし、応答がある場合見ることを試みているサーバを ping して下さい。 応答を受け取らないし、デバッグ文を検知 し、ICMPエコー要求が PIX によって出かけるのを見るように確かめれば。 エコー要求を見ない場合、ソース マシンのデフォルト ゲートウェイをチェックして下さい。 通常、それは PIX です。

      また、クライアントの使用 nslookup は、確かめ達することを試みているサーバの IP アドレスを解決できることを。

    3. IP接続があるとき、Telnet によって PIX に接続された場合) (コンソールに接続された場合) debug icmp trace を消し、logging console debug または logging monitor debug をつけて下さい(。 これは syslog メッセージを画面に表示する。 サーバに接続することを試みどのトラフィックでも拒否されるかどうか見るために syslog を視聴して下さい。 その場合、syslog は提供するこれがなぜの起こっているかよい概念を必要があります。 また syslog メッセージの説明を検知できます。

    4. 外部ユーザが内部サーバにアクセスすることができなければ:

      1. static コマンドの構文を確認して下さい。

      2. access-list コマンド文を用いる許可されたアクセスをアクセスできることダブルチェックして下さい。

      3. access-group コマンドでアクセス リストを追加したことダブルチェックして下さい。

    5. 登録ユーザであり、ログオンされれば、TAC Case Collection登録ユーザのみ)で PIX 問題を解決できます。

TAC のサービスリクエストをオープンする場合に収集すべき情報

このドキュメントのトラブルシューティング手順を実行した後もサポートが必要で、Cisco TAC でサービス リクエストをオープンする場合は、ご使用の PIX Firewall のトラブルシューティングに必要な次の情報を添付してください。
  • 問題の説明と関連するトポロジの詳細
  • サービスリクエストをオープンする前に実施したトラブルシューティング
  • show tech-support コマンドの出力
  • logging buffered debugging コマンドを実行した後の show log コマンドの出力、または問題を示すコンソール キャプチャ(利用可能な場合)
収集したデータは、圧縮しないプレーン テキスト形式(.txt)でサービス リクエストに添付してください。 Service Request Query Tool登録ユーザ専用)を使用してアップロードすることで、サービス リクエストに情報を添付できます。 Service Request Tool にアクセスできない場合は、電子メールへの添付で、attach@cisco.com に情報を送信できます。この場合は、メッセージの件名(Subject)行にサービス リクエスト番号を記入してください。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13825