セキュリティ : Cisco IOS ファイアウォール

Cisco IOS ファイアウォール設定を使用して NAT のない 2 つのインターフェイス ルータ

2015 年 10 月 17 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このサンプル コンフィギュレーションはインターネットに直接接続する非常に小さいオフィスにドメイン名サービス(DNS)、シンプル・メール転送プロトコル(SMTP)という想定のもとで、勤めていますおよび Web サービスはインターネット サービス プロバイダー(ISP)によって動作する遠隔システムによって提供されます。 内部ネットワークおよび 2 つのインターフェイスだけにサービスがありません。 利用可能なホストがロギング サービスを提供するためにないのでまたロギングがありません。

この設定はアクセス・リストを入力するのにただ使用するので同じアクセス・リストとのアンチスプーフィングおよびトラフィック フィルタリングを両方します。 この設定は 2ポート ルータのためにだけ機能します。 イーサネット 0 は「内部」ネットワークです。 シリアル 0 は ISP へのフレーム リレー リンクです。

Cisco IOS を使用して NAT で 2 つのインターフェイス ルータを設定するために NAT Cisco IOS ファイアウォール設定の 2 つのインターフェイス ルータを参照して下さいか。 ファイアウォール。

Cisco IOS ファイアウォールを使用して NAT なしで 3 つのインターフェイス ルータを設定するために NAT Cisco IOS ファイアウォール設定なしで 3 つのインターフェイス ルータを参照して下さい。

前提条件

要件

この文書のための特定の要件がありません。

使用するコンポーネント

この文書に記載されている情報によってはこれらのソフトウェアおよびハードウェア バージョンがに適用されます:

  • Cisco IOS か。 Cisco IOS ソフトウェア リリース 11.3.3.T からサポートされるソフトウェア リリース 12.2(15)T13

  • Cisco 2611 ルータ

この文書に記載されている情報は特定のラボ環境のデバイスから作成されました。 この文書で使用された削除された(デフォルト)設定でデバイスすべては起動しています。 あなたのネットワークがライブである場合、あらゆるコマンドの潜在的影響を理解することを確かめて下さい。

表記法

文書規定に関する詳細については Cisco テクニカル・ティップ規定を参照して下さい。

設定例

このセクションではこの文書に説明がある機能を、設定するための情報を記載します。

注: このセクションで使用されるコマンドに関する詳細を得るのにコマンド ルックアップ ツール登録されていた顧客だけ)を使用して下さい。

ネットワーク図

この文書はこのネットワークを設定するのに使用します:

/image/gif/paws/13892/cbac4-1.gif

設定

この文書はこの設定を使用します:

2514 ルータ
version 12.2
!
service password-encryption
no service udp-small-servers
no service tcp-small-servers
no cdp run
!
hostname cbac-cisco
!
no ip source-route
!
enable secret 5 $1$FrMn$wBu0Xgv/Igy5Y.DarCmrm/
!
username cisco privilege 15 password 7 0822455D0A16
no ip source-route
ip domain-name cisco.com
ip name-server 172.16.150.5 
!

!--- Set up inspection list "myfw".
!--- Inspect for the protocols that actually get used.

!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw http timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
!
interface Ethernet0/0
description Cisco Ethernet RTP
 ip address 10.20.20.20 255.255.255.0
 no ip directed-broadcast
 !
 
!--- Apply the access list in order to allow all legitimate traffic
 !--- from the inside network but prevent spoofing.

 !
 ip access-group 101 in
 !
 no ip proxy-arp
 !
 
!--- Apply inspection list "myfw" to Ethernet 0 inbound.
 !--- When conversations are initiated from the internal network 
 !--- to the outside, this inspection list causes temporary additions 
 !--- to the traffic allowed in by serial interface 0 acl 111 when 
 !--- traffic returns in response to the initiation.

 !
 ip inspect myfw in
 no ip route-cache
 !
 no cdp enable
 !
 interface Serial0/0
 description Cisco FR
 ip address 172.16.150.1 255.255.255.0
 encapsulation frame-relay IETF
 no ip route-cache
 no arp frame-relay
 bandwidth 56
 service-module 56 clock source line
 service-module 56k network-type dds
 frame-relay lmi-type ansi
 !
 
!--- Access list 111 allows some ICMP traffic and administrative Telnet, 
 !--- and does anti-spoofing. There is no inspection on Serial 0. 
 !--- However, the inspection on the Ethernet interface adds temporary entries 
 !--- to this list when hosts on the internal network make connections 
 !--- out through the Frame Relay.

 !
 ip access-group 111 in
 no ip directed-broadcast
 no ip route-cache
 bandwidth 56
 no cdp enable
 frame-relay interface-dlci 16
 !
 ip classless
 ip route 0.0.0.0 0.0.0.0 Serial0
!

!--- Access list 20 is used to control which network management stations 
!--- can access through SNMP.

!
 access-list 20 permit 172.16.150.8
!
 
!--- The access list allows all legitimate traffic from the inside network
 !--- but prevents spoofing.

!
 access-list 101 permit tcp 172.16.150.0 0.0.0.255 any
 access-list 101 permit udp 172.16.150.0 0.0.0.255 any
 access-list 101 permit icmp 172.16.150.0 0.0.0.255 any

!--- This deny is the default.

 access-list 101 deny ip any any
 !
 
!--- Access list 111 controls what can come from the outside world
 !--- and it is anti-spoofing.

 !
 access-list 111 deny ip 127.0.0.0 0.255.255.255 any
 access-list 111 deny ip 172.16.150.0 0.0.0.255 any
!
 
!--- Perform an ICMP stuff first. There is some danger in these lists. 
 !--- They are control packets, and allowing *any* packet opens
 !--- you up to some possible attacks. For example, teardrop-style 
 !--- fragmentation attacks can come through this list.

!
 access-list 111 permit icmp any 172.16.150.0 0.0.0.255 administratively-prohibited
 access-list 111 permit icmp any 172.16.150.0 0.0.0.255 echo
 access-list 111 permit icmp any 172.16.150.0 0.0.0.255 echo-reply
 access-list 111 permit icmp any 172.16.150.0 0.0.0.255 packet-too-big
 access-list 111 permit icmp any 172.16.150.0 0.0.0.255 time-exceeded
 access-list 111 permit icmp any 172.16.150.0 0.0.0.255 traceroute
 access-list 111 permit icmp any 172.16.150.0 0.0.0.255 unreachable
!

!--- Allow Telnet access from 10.11.11.0 corporate network administration people.

!
 access-list 111 permit tcp 10.11.11.0 0.0.0.255 host 172.16.150.1 eq telnet
!
 
!--- This deny is the default.

!
 access-list 111 deny ip any any
 !
 
!--- Apply access list 20 for SNMP process.

 !
 snmp-server community secret RO 20
 !
 line con 0
 exec-timeout 5 0
 password 7 14191D1815023F2036
 login local
 line vty 0 4
 exec-timeout 5 0
 password 7 14191D1815023F2036
 login local
 length 35
 end

確認事項

現在この設定用の利用可能な確認手順がありません。

トラブルシューティング

このセクションはあなたの設定をトラブルシューティングするのに使用できる情報を提供します。

IOS ファイアウォール ルータを設定した後、接続がはたらかない場合、IP Inspect (定義される名前)の点検をイネーブルにしたりまたはインターフェイスで命じますようにして下さい。 この設定では、IP Inspect myfw はインターフェイス Ethernet0/0 に適用します。

これらのコマンドに関しては、他のトラブルシューティングに関する情報と共に、認証委任状のトラブルシューティングを参照して下さい。

注: デバッグ・コマンドを発行する前にデバッグ・コマンドの重要な情報を参照して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13892