セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

Cisco Secure PIX ファイアウォールに関するよくある質問

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2009 年 4 月 15 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


質問


概要

この文書は、Cisco Secure PIX Firewall に関する FAQ について記載しています。

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ハードウェア

Q. Cisco Secure PIX Firewall に新しいインターフェイス カードを取り付ける必要があります。 どのスロットに取り付ければよいでしょうか。

A. PIX のモデルによってそれぞれ異なります。 『PIX に関するドキュメント』にアクセスし、使用しているソフトウェア バージョンを選択します。 そのページから「インストール ガイド」を選択し、それから「回路基板の取り付け」を選択して、詳しい図と指示を参照してください。

Q. Cisco Secure PIX Firewall に新しいインターフェイス カードを取り付ける必要があります。 カードが大きすぎてどのスロットにも入らないようです。 部品が間違っているのでしょうか。

A. カード上の金色の端子の一部がソケットの縁からはみ出していることがよくあります。これは正常です。

Q. 2 つのイーサネットカードと提供された Cisco Secure PIX Firewall。 追加インターフェイスを追加して、今それはコマンド プロンプトに起動しません。

A. サポートされているインターフェイスの数は、PIX のモデル、ソフトウェア バージョン、およびライセンスによって異なります。 PIX 6.3(このドキュメントの作成時点での最新バージョン)で設定可能な物理インターフェイス、および VLAN インターフェイスの最大数については、『PIX に関するドキュメント』を参照してください。

Q. Cisco Secure PIX Firewall とコンソール接続を確立する必要があります。 どの種類のケーブルを使用すればよいでしょうか。

A. コンピュータ販売店で一般に市販されている DB9/DB9 ヌル モデム ケーブルを使用します。 Cisco Secure PIX Firewall によっては 2 個の DB9/RJ-45 アダプタが付属している場合があります。 これらのアダプタがある場合は、1 個を Cisco Secure PIX Firewall に、もう 1 個を PC のシリアル ポートに、それぞれ接続します。 ロールオーバー ケーブル(クロス ケーブルではありません)を使用し、2 個の RJ-45 アダプタ同士を接続します。 HyperTerminal の設定を、N81、フロー制御なし、9600 ボーに設定します。 それでも問題が解決しない場合は、PC の COM ポート設定を調べ、セットアップと動作が正しく行われているかを確認します。 他のものがすべて正しくセットアップされていると判断される場合は、ルータ上またはスイッチ上でテストを行い、プロンプトが表示されるかどうかを確かめてください。 PIX ソフトウェア バージョンの詳細については、『PIX に関するドキュメント』を参照してください。 そのページから「インストール ガイド」を選択し、それから「インターフェイス ケーブルの取り付け」を選択して、詳しい図と指示を参照してください。

Q. PIX 520 モデルのフロッピー ドライブはどこにありますか。

A. 正面左上隅の小さな金属板の後ろにあります。 2 本の締め付けネジを取りはずして使用します。 詳細については、『PIX 520 以前のモデルのインストール』を参照してください。

Q. Cisco Secure PIX Firewall がルータに直接接続されていますが、リンク ランプが点灯せず、どちらのデバイスからも PING できません。 何が間違っていますか。

A. 適切なクロスケーブルを使用して PIX を直接ルータに接続していることを確認します。 PIX をハブまたはスイッチに接続している場合は、ストレート型のイーサネット ケーブルを使用します。

Q. PIX に搭載されているギガビット イーサネット カードのプロセッサ速度の違いはどうすればわかるでしょうか。 たとえば、PIX-1GE-66 カードと PIX-1GE カードとの違いはどうすればわかるでしょうか。

A. show interface と入力して次の行を調べます。

Hardware is i82542 rev03 gigabit ethernet, address is XXXX.XXXX.XXXX

or


Hardware is i82543 rev02 gigabit ethernet, address is XXXX.XXXX.XXXX

i82542 は 33 MHz を、i82543 は 66 MHz を、それぞれ表しています。

Q. Cisco 以外のネットワーク カードを PIX で使用することはできますか。

A. いいえ。

Q. PIX のブート時、PIX によって network interface card(NIC; ネットワーク インターフェイス カード)の interrupt request(IRQ; 割り込み要求)がレポートされ、そのいくつかが 2 回使用されています(重複しています)。 これは問題の原因となりますか。

A. これらのメッセージは通常表示されるものであり、無視してかまいません。

4: ethernet2: address is 00e0.0000.05cb, irq 11
5: ethernet3: address is 00e0.0000.05ca, irq 11

Q. ギガビット イーサネット ネットワーク インターフェイス カード(NIC)ブートの PIX が報告するとき「ありますとして、PIX NIC Interrupt 要求(IRQ)を irq 255." はこの原因を問題しますか。

A. このメッセージは通常表示されるものであり、無視してかまいません。

0: gb-ethernet0: address is 0003.0000.1e75, irq 255

Q. PIX のデフォルトのハードウェア構成は何ですか。

プラットフォーム 501 506 515 (R/UR) 515E (R/UR) 520 525 (R/UR) 535 (R/UR)
CPU AMD 133 PI 200 PI 200 PII 433 PII 350 PIII 600 PIII 1GH
RAM(MB) 8 32 32/64 32/64 128 128/256 512/1024

Q. PIX BIOS はアップグレードできますか。

A. いいえ。

ソフトウェア - インストールおよびアップグレード

Q. pixNNN.exe を PIX に TFTP しようとしていますが、「bad magic number.」というエラーになります。 どこがおかしいのでしょうか。

A. .exe ファイルではなく .bin ファイルをロードする必要があります。 .exe ファイルは自己解凍型アーカイブで、他のファイルとともに .bin ファイルが収められています。

注: .bin ファイルは、PIX ソフトウェア バージョン 5.0.x 以前の場合にだけ使用します。 .exe ファイルを PC のハード ドライブ上の一時ディレクトリにコピーし、それからプログラムを実行してファイルを抽出します。 次に、pixNNN.bin ファイルを TFTP サーバにコピーします。

Q. ソフトウェアをフロッピーからアップグレードしようとしていますが、ディスクを読み取ろうとするたびに Cisco Secure PIX Firewall がループし続けます。 何が間違っていますか。

A. DOS コマンド format A: を使用してディスクを正しくフォーマットしてから、rawrite を使用してフロッピーにイメージをコピーしていることを確認します。 処理が失敗する場合は、別の PC で操作を試みてください。

注: フロッピー ディスクからのアップグレードは、PIX ソフトウェア バージョン 5.0.x 以前の場合にだけ有効です。

Q. 新しい Cisco Secure PIX Firewall を設置しようとしています。設定は正しいようです。 LAN は以前、インターネット ルータに直接接続されていました。 PIX を取り付けたところ、LAN のユーザがインターネットに接続できません。 何が間違っていますか。

A. いくつかの異なる原因が考えられます。

Q. 最近、2 つ目の Inside ネットワークに接続するための Inside ルータを Cisco Secure PIX Firewall に追加しました。 Cisco Secure PIX Firewall と内部ルータの間にいるユーザは、インターネットには正常に接続できますが、新しく追加した内部ネットワークには接続できません。 新しいネットワーク上のユーザは内部ルータを通過できません。 何が間違っていますか。

A. 新しいルータを経由する新しいネットワーク用の、特定の route inside 文を PIX に入力する必要があります。 また、このルータを経由するメジャー ネットワーク用の特定の route inside 文を入力することもできます。この方法は、将来の拡張にも対応できます。

たとえば、既存のネットワークが 192.168.1.0/24 で、新しいネットワークが 192.168.2.0/24 であるとします。内部ルータのイーサネット ポートは 192.168.1.2 です。 PIX のルート設定は次のとおりです。

route inside 192.168.2.0 255.255.255.0 192.168.1.2 1

または、メジャー ネットワークの場合は次のとおりです。

route inside 192.168.0.0 255.255.0.0 192.168.1.2 1

Cisco Secure PIX Firewall とルータとの間にある各ワークステーションに、PIX ではなくルータを指し示すゲートウェイをそれぞれ設定します。 これらのワークステーションは直接接続していますが、それぞれのゲートウェイがルータを指し示していない場合、新しい内部ネットワークにアクセスする際に問題が生じます。 ルータには、すべての未知のトラフィックを Cisco Secure PIX Firewall の Inside インターフェイス宛てに送信するデフォルト ゲートウェイを設定します。 この新しいネットワーク用の経路を PIX 内に設定しても正しく動作しません。 PIX は、パケットを受信したインターフェイスからのルーティングやリダイレクトを実行しません。 ルータとは異なり、PIX はパケットを最初に受信したのと同じインターフェースを介して、パケットを戻すことはできません。 また、追加しようとしている新しいネットワークあるいはメジャー ネットワークが nat 文に含まれていることを確認します。

Q. PIX に搭載されているフラッシュ メモリの容量はどうすればわかるでしょうか。

A. PIX で show version コマンドを実行し、フラッシュ サイズが MB で示されない場合は、次の表を使用して PIX にあるフラッシュの容量を確認します。

i28F020 512 KB
AT29C040A 2 MB
atmel 2 MB
i28F640J5 8 MB - PIX 506 16 MB - 他のすべてのPIX
strata 16 MB

たとえば、show version コマンドから次の出力が得られたとします。

Cisco Secure PIX Firewall Version 5.1(1)
Compiled on Fri 01-Oct-99 13:56 by pixbuild 

pix515 up 4 days 22 hours 10 mins 42 secs 
Hardware: PIX-515, 64 MB RAM, CPU Pentium 200 MHz
Flash i28F640J5 @ 0x300
BIOS Flash AT29C257 @ 0xfffd8000
 
0: ethernet0: address is 00aa.0000.0037, irq 11
1: ethernet1: address is 00aa.0000.0038, irq 10
2: ethernet2: address is 00a0.c92a.f029, irq 9
3: ethernet3: address is 00a0.c948.45f9, irq 7
 
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES: Disabled
Maximum Interfaces: 6
 
Serial Number: 123 (0x7b)
Activation Key: 0xc5233151 0xb429f6d0 0xda93739a 0xe15cdf51

フラッシュ メモリの量は 16 MB になります。

Q. PIX の新しいアクティベーション キーはどんなときに使用する必要があるのでしょうか。

A. PIX を制限付きのソフトウェア バンドルから、接続数の増加、フェールオーバー、IPSec、または追加インターフェイスなどの追加機能をサポートするバンドルにアップグレードするときに、新しいアクティベーション キーが必要です。 また、PIX でフラッシュ アップグレードを行った後に、新しいアクティベーション キーが必要になる場合があります。

非 56 ビットのアクティベーション キーを要求するには、licensing@cisco.com に電子メールを送信して次の情報をお知らせください。

  • PIX のシリアル番号(または、フラッシュ アップグレードを行っている場合は、フラッシュ カードのシリアル番号)

  • PIX 上で発行した show version コマンドの結果

  • 現在の PIX ソフトウェア バージョン

  • 必要なライセンスのタイプ(DES、3DES、Restricted to Unrestricted)。

  • 資格番号、注文書番号、発注番号、または PAK 番号のいずれか

  • 会社名と住所

56 ビットのアクティベーション キーを要求するには、『PIX 56 ビット ライセンス アップグレード キー』(登録ユーザ専用)ページにアクセスしてください。

AES/3DES アクティベーション キーを要求するには、『Cisco ASA 3DES/AES ライセンス登録』(登録ユーザ専用)ページにアクセスしてください。

注: 56 ビットのアクティベーション キーは、IPSec を使用する暗号化に必要です。

Q. PIX は IPX または AppleTalk トラフィックを通過させることができますか。

A. できません。PIX は IP 専用のファイアウォールです。

Q. PIX は、インターフェイスのセカンダリ アドレッシングをサポートしていますか。

A. Cisco IOS とは違ってか。、PIX はインターフェイス の セカンダリ アドレッシングをサポートしません。

Q. PIX のインターフェイスは 802.1Q をサポートしていますか。

A. はい。PIX 6.3 では新機能が追加されました。PIX では論理インターフェイスの作成が可能です。 各論理インターフェイスは、スイッチの VLAN に対応します。 詳細については、『ファイアウォールでの VLAN の使用』を参照してください。

Q. PIX は SSH をサポートしていますか。

A. はい。SSH を設定する手順については、『SSH - 内部または外部』を参照してください。 PIX では SSH バージョン 1 が使用されています。

ソフトウェア - フェールオーバー

Q. 2 つの Cisco Secure PIX Firewall をフェールオーバー トポロジで構成しています。 Cisco Secure PIX Firewall どうしが終日、互いにフェールオーバーし続ける状態が続きます。 なぜ、このような現象が発生するのでしょうか。

A. フェールオーバーが正常に動作するためには、正しい設定が必要です。 5.1 より前のバージョンでは、すべてのインターフェイスに対して個々のサブネットごとに一意な IP アドレスを設定し、かつすべてのインターフェイスを物理的に接続する必要があります。 これには、現在使用していないインターフェイスも含まれます。 バージョン 5.1 以降では、未使用のインターフェイスをシャットダウンできます。 ただし、両方の PIX で同じインターフェイス番号をシャットダウンする必要があります。 バージョン 5.1 の前に、フェールオーバーは彼らがシャットダウンされても、Helloパケットを各インターフェイス 送信 します。 それは応答を返を受け取ると期待します。 何回か試行した後も応答がなければ、フェールオーバーがアクティブになります。 また、プライマリ PIX が フェールオーバー インターフェイスに対して PING を実行できるかどうかもチェックしてください。実行できない場合は、インターフェイスがアップ状態であるかどうかをチェックします。 さらに、インターフェイスがスイッチ経由で接続されている場合 は、スイッチのインターフェイスもチェックしてください。

Q. PIX フェールオーバー ケーブルの長さはどれくらいですか。また、それよりも長いケーブルは使用できますか。

A. シスコから提供されるシリアル ケーブルの長さは 6 フィート(約 1.83 m)です。 ピン配置については、使用している PIX ソフトウェア バージョンの『Cisco PIX Firewall に関するドキュメント』を参照してください。 より長いケーブルはテストされませんでした。 より長いケーブルの使用はサポートされていなくないです。 PIX 6.2 では、「LAN フェールオーバー」という新機能があり、PIX の専用インターフェイスをフェールオーバー ケーブルとして使用できます。 詳細については、『PIX Firewall バージョン 6.2 に関するドキュメント』を参照してください。

Q. VLAN インターフェイスはフェールオーバーで使用できますか。

A. 物理 VLAN と論理 VLAN の両方がフェールオーバーでサポートされています。 ただし、failover lan interface および failover link コマンドでは、論理 VLAN インターフェイスを使用できないという制限があります。

Q. DHCP サーバ機能はフェールオーバーでサポートされていますか。

A. いいえ。DHCP サーバはフェールオーバーでサポートされていません。また、PIX は DHCP 経由で IP アドレスを取得するように設定されていません(フェールオーバーを設定するには failover interface-name ip address コマンドが必要であるため)。

Q. 2 つの Cisco Secure PIX Firewall をフェールオーバー トポロジで構成しています。 1 つは Unrestricted ライセンスを持ち、もう 1 つは Failover ライセンスを持っています。 両方の PIX Firewall の電源が失われ、フェールオーバー ユニットだけが再ブートされた場合、どうなりますか。

A. Failover ライセンスを持つ PIX Firewall は、スタンドアロン モードではなく、フェールオーバーのためだけに使用されます。 両方の PIX Firewalls の電源が失われ、フェールオーバー ユニットだけが再ブートされた場合は、フェールオーバー ユニットがスタンドアロン モードで使用されているかのようになります。 スタンドアロン モードで使用されているフェールオーバー ユニットは、プライマリ PIX Firewall が復旧したことを認識し、フェールオーバーの任務に戻るまで、少なくとも 24 時間おきに 1 回リブートします。

ソフトウェアに関するその他の質問

Q. PIX は IGMP トラフィックを転送しますか。

A. PIX Firewall ソフトウェア バージョン 6.2 では、マルチキャスト ルートを静的に設定したり、Internet Group Management Protocol(IGMP; インターネット グループ管理プロトコル)ヘルパー アドレスを使用して、IGMP レポートおよびリーブ アナウンスメントを自動転送することができます。

このリリースでのマルチキャスト サポートの要約は、次のとおりです。

  • アクセス リスト フィルタをマルチキャスト トラフィックに適用して、特定のプロトコルおよびポートを許可または拒否できます。

  • Network Address Translation(NAT; ネットワーク アドレス変換)および Port Address Translation(PAT; ポート アドレス変換)は、マルチキャスト パケットの送信元アドレスだけで実行できます。

  • 宛先アドレスが 224.0.0.0/24 アドレス範囲内のマルチキャスト データ パケットは、自動転送されません。 ただし、それ以外の 224.0.0.0/8 アドレス範囲内のものはすべて自動転送されます。

  • アドレス グループの範囲が 224.0.0.0 ~ 224.0.0.255 の IGMP パケットは、転送されません。これらのアドレスは、プロトコル用に予約されているためです。

  • NAT は、IGMP パケットでは実行されません。 IGMP 転送が設定されている場合、PIX により、送信元 IP アドレスとしてヘルパー インターフェイスの IP アドレスを持つ IGMP パケット(レポートおよびリーブ)が自動転送されます。

Q. PIX には、パケットの内容を詳細に表示するパケット トレースを取ることができるトラブルシューティング機能がありますか。

A. PIX Firewall ソフトウェア バージョン 6.2 では、PIX によって許可またはブロックされたトラフィックを探索または「表示」するパケット キャプチャがサポートされています。 パケット情報がキャプチャされた場合、その情報をコンソールで表示したり、TFTP サーバを使用してネットワーク上でファイルに転送したり、Secure HTTP を使用して Web ブラウザを介してアクセスすることができます。 PIX では、同じネットワーク セグメント上で自身に関連していないトラフィックはキャプチャされないことに注意してください。 また、このパケット キャプチャ機能には、ファイル システム、DNS ネーム解決、またはプロミスキャス モードのサポートは含まれません。

Q. PIX は OSPF をサポートしていますか。

A. バージョン 6.3 コードにおける PIX Firewall の実装では、エリア内、エリア間、および外部ルートがサポートされています。 このリリースでは、Open Shortest Path First(OSPF)プロセスへのスタティック ルートの配布および OSPF プロセス間のルート再配布もサポートされています。

Q. PIX は PPPoE をサポートしていますか。

A. PIX Firewall ソフトウェア バージョン 6.2 では、Point-to-Point Protocol over Ethernet(PPPoE)がサポートされています。 L2TP/PPTP/PPPoE のためのサポートは PIXファイアウォール ソフトウェア バージョン 7.0 および それ 以降から取除かれました。 (PPPoE はイーサネットネットワーク上の PPP認証を使用するために標準的な方法を提供し、多くのインターネットサービスプロバイダー(ISP)によって DSL によってネットワークにクライアントマシン アクセスを、一般に認めるのに使用されています。) PPPoE は Cisco PIX 500 シリーズ セキュリティ アプライアンス モデルの outside インターフェイスでサポートされます。

Q. PIX では SFTP がサポートされていますか。

A. いいえ。 通常の FTP 接続では、クライアントかサーバのいずれかが他方に、データ転送に使用するポートを通知する必要があります。 PIX は、このやりとりを監視して、そのポートをオープンにできます。 ところが、SFTP では、このやりとりは暗号化され、PIX はどのポートをオープンするのかを判別できず、SFTP 接続は最終的に失敗します。

この状況で可能な回避策としては、「clear data channel」の使用をサポートする SFTP クライアントを使用する方法があります。 このオプションをイネーブルにすると、PIX では、どのポートをオープンする必要があるかが判断できます。

Q. 電子メール パケットを Cisco Secure PIX Firewall でフィルタする方法はあるでしょうか。 たとえば、Cisco Secure PIX Firewall で「I luv you」ウィルスをフィルタすることはできますか。

A. Cisco Secure PIX Firewall は、アプリケーション層でのコンテンツのフィルタリングは行いません。 つまり、TCP パケットのデータ部の検査は実行しません。 したがって、電子メールの内容はフィルタリングできません。 最近のメール サーバのほとんどはアプリケーション層でフィルタリングを実行できます。

Q. NAT/GLOBAL 文を使用し、Cisco Secure PIX Firewall で Network Address Translation(NAT; ネットワーク アドレス変換)を行おうとしていますが、Outside ユーザが内部ホストに定常的にアクセスができない問題が起きています。 何が間違っていますか。

A. nat コマンドおよび global コマンドを使用したダイナミック NAT では、一時的な接続/変換状態が作成されます。この状態は「常に」セキュリティ レベルの高いインターフェイスからセキュリティ レベルの低いインターフェイスに向かって(Inside から Outside に向かって)作成されます。 動的に作成されたこれらの変換のコンジットは、接続状態が作成されたときだけ適用されます。 Inside ホストから先に外部接続を確立するのではなく、Outside から Inside ホストへの接続を開始する必要がある場合、Inside ホストは、static コマンドを使用して変換する必要があります。 ホストを静的に変換することにより、この接続状態が永続的にマップされ、この静的変換に適用されるすべてのコンジットが常時オープンしたままになります。 static コマンドを適切に配置することで、インターネット側から IP 接続を確実に開始できます。 PIX ソフトウェア バージョン 5.0.x 以降では、コンジットの代わりにアクセス リストを使用できます。

Q. Inside の Web サーバを静的に Outside に変換していますが、Outside のユーザが Web サーバに到達できません。 外部ユーザは入ることができません。 何が原因でしょうか。

A. 静的マッピングは変換/接続を可能にします。 しかしデフォルトで、Cisco Secure PIX Firewall は明示的に許可されてすべてのインバウンド接続の試みを否定しません。 この「許可」は、静的変換にコンジットを適用すると付与されます。 conduit 文により、インターネット上のだれに対してどこのどのプロトコルおよびポートの許可を与えるのかについて、Cisco Secure PIX Firewall に指示します。 PIX ソフトウェア バージョン 5.0.x 以降では、コンジットの代わりにアクセス リストを使用できます。

Q. Cisco Secure PIX Firewall の内部インターフェイスの Webサーバがあります。 それは外部パブリックアドレスにマッピング されます。 内部ユーザに DNS名か外部アドレスによってこのサーバにアクセスできてほしいです。 どのように することが できます か?

A. TCP の規則ではこの操作は許されていませんが、適切な解決方法がいくつかあります。 たとえば、Web サーバの実際の IP アドレスを 10.10.10.10、パブリック アドレスを 99.99.99.99 とします。 www.mydomain.com への DNS resolve 99.99.99.99。 内部ホスト(たとえば、10.10.10.25) ブラウザ解決します 99.99.99.99 にそれを www.mydomain.com に行くように試みます。 次に、ブラウザはそのパケットを PIX に送信し、PIX はさらにそのパケットをインターネット ルータに送信します。 インターネット ルータには、直接接続されたサブネット 99.99.99.x がすでに存在します。 そのため、インターネット ルータはこのパケットを自身宛てではなく、直接接続されたホスト宛てと見なし、パケットを廃棄します。 この問題を回避するには、Inside ホストで www.mydomain.com を実際の 10.10.10.10 のアドレスに解決するか、または、Outside セグメントを 99.99.99.x ネットワークと分けて、このパケットを PIX に戻すようにルータを設定する必要があります。

DNS が PIX の Outside に(またはその DMZ の 1 つを越えたところに)常駐している場合は、Cisco Secure PIX Firewall で alias コマンドを使用し、DNS パケットが 10.10.10.10 アドレスに解決されるように修正できます。 この変更を行った後は、必ず PC をリブートして DNS キャッシュをフラッシュしてください。 (alias コマンドの適用の前後に www.mydomain.com を PING してテストし、解決アドレスが 99.99.99.99 から 10.10.10.10 に変更されたことを確認してください)。

ネットワークの Inside に独自の DNS サーバがある場合、この方法は機能しません。DNS lookup が PIX を通過せず、修正する方法がないためです。 この場合は、ローカル DNS を適切に設定するか、または PC 上のローカルの「hosts」ファイルを使用してこの名前を解決します。 もう一方のオプションの方が信頼性が高く、より適しています。 99.99.99.x サブネットを PIX およびルータから削除します。 内部的に(または任意の PIX 境界インターフェイスで)使用されていない RFC 1918 アドレスを選択します。leavingcisco.com 次に、このネットワークを PIX に戻す route 文を設定し、必ず PIX のデフォルト ルートをルータ上の新しい IP アドレスの外部に変更します。 Outside ルータはこのパケットを受信し、自身のルーティング テーブルに基づいてそのパケットを PIX にルーティングして戻します。 ルータにはそのネットワークに対するインターフェイスが設定されていないため、ルータがこのパケットを無視しなくなります。

PIX 6.2 では、alias コマンドなどの機能性を備えた、双方向 NAT という新機能が導入されています。

alias コマンドの詳細については、『Cisco Secure PIX ファイアウォールでの alias コマンドの概要』を参照してください。

双方向 NAT 機能の詳細については、PIX コマンド リファレンスの『Outside NAT の使用』を参照してください。

注: PIX/ASA ソフトウェア バージョン 7.x を実行している場合、alias コマンドの使用はお勧めできません。 代わりに、DNS スイッチで Outside NAT を使用することを推奨いたします。 『アプリケーション層プロトコル検査の適用』の「DNS 検査」セクションを参照してください。

Q. Cisco Secure PIX Firewall はポート マッピングをサポートしていますか。

A. PIX は、PIX ソフトウェア バージョン 6.0 において着信ポートのリダイレクションをサポートしています。 それより前のバージョンの PIX ソフトウェアはポート マッピングをサポートしていません。

Q. 単一の Inside アドレスを複数の Outside アドレスにマップできますか。

A. Cisco Secure PIX Firewall ではローカル(内部)ホストに対して単一の 1 対 1 変換しかできません。 Cisco Secure PIX Firewall に 3 つ以上のインターフェイスがある場合、ローカル アドレスを個々のインターフェイスごとの異なるアドレスに変換できますが、各アドレスについて許可される変換は 1 つのインターフェイスにつき 1 つだけです。 同様に、単一の Outside アドレスから複数のローカル アドレスへの静的マッピングを行うこともできません。

Q. 2 つの異なる ISP を(ロード バランシング用に)Cisco Secure PIX Firewall に接続できますか。

A. できません。PIX ではロード バランスは行えません。 Cisco Secure PIX Firewall は 1 つのデフォルト ルートだけを処理するように設計された製品です。 2 つの ISP を 1 台の PIX に接続すると、格段に高度なレベルでルーティング先の決定を行う必要が生じます。 ゲートウェイ ルータを使用することにより、PIX は自身のトラフィックをすべて 1 台のルータに送信し続けます。 そして、ゲートウェイ ルータは 2 つの ISP 間でルーティングとロード バランシングを実行できます。 代わりに、Hot Standby Router Protocol(HSRP; ホットスタンバイ ルータ プロトコル)を使用して 2 つのルータを PIX の外側に設置し、PIX のデフォルト ゲートウェイを仮想 HSRP アドレスに設定するという方法もあります。 または、(可能な場合)単一のインターフェイス上で最大 3 つのピア間でのロード バランシングをサポートする Open Shortest Path First(OSPF)を使用することもできます。

Q. Cisco Secure PIX Firewall にはいくつの PAT アドレスを設定できますか。

A. PIX ソフトウェア リリース 5.2 以降では、インターフェイスごとに複数の PAT アドレスを設定できます。 それより前のリリースの PIX ソフトウェアでは、インターフェイスごとに複数の PAT アドレスは設定できません。

Q. より多くの帯域幅を特定のユーザに与えるよう Cisco Secure PIX Firewall を設定する方法はありますか。

A. いいえ。

Q. ユーザがリモートの場所から NT ドメイン上の共有フォルダにアクセスできるようにする必要があります。 どうすればよいでしょうか。

A. Microsoft の NetBios プロトコルにより、ファイルとプリンタの共有が可能になります。 NetBios をインターネット経由で有効にすると、ほとんどのネットワークでセキュリティ条件が満たされなくなります。 更に、NetBIOS は NAT を使用して設定しにくいです。 Microsoft では、PIX とシームレスに連携する暗号化テクノロジーを使用してこの設定をより安全なものにしており、必要なポートが開放される可能性があります。

要するに、TCP ポート 135 および 139 および UDP ポート 137 および 138 のためにアクセスおよびコンジット(または PIX Software 5.0.x および それ以降のアクセス リスト)必要とするすべてのホストのためのスタティック トランスレーションを設定 する必要があります。 NetBIOS 名への変換アドレスかローカルすべてのリモートクライアント マシンの正しく設定された LMHOST ファイルを解決するのに WINS サーバを使用して下さい。 WINS を使用する場合は、アクセスされるホストのローカル アドレスおよび変換後アドレスの「両方」に対応する静的な WINS エントリを、個々のホストすべてに設定する必要があります。 LMHOSTS を使用する場合も、リモート ユーザが Inside ネットワークに接続することが決してない場合(ラップトップ コンピュータなどの場合)以外は、同じように両方のエントリを設定してください。 static コマンドおよび conduit コマンドを使用して WINS サーバからインターネットにアクセスできるようにし、この WINS サーバを指し示すようにリモート ホストを設定する必要があります。 最後に、Dynamic Host Configuration Protocol(DHCP; ダイナミック ホスト コンフィギュレーション プロトコル)リースを無期限に設定する必要があります。 また、インターネットからアクセスする必要があるホストの IP アドレスを静的に設定することもできます。

これをより安全に行うには、Point-to-Point Tunneling Protocol(PPTP)または IPSec 暗号化のどちらかを設定します。 セキュリティに関するさまざまな作用や影響については、ネットワークのセキュリティおよび設計の専門家に問い合せてください。

Q. PIX のコンソール/Telnet にあり、"201008 のようなエラーを見ます: PIX は拒否しています新しい接続を」。 すべての受信トラフィックと送信トラフィックが PIX を通過しません。 何が間違っていますか。

A. このエラーは、「信頼性の高い TCP syslog」を Windows NT システム上の PIX Firewall Syslog Server(PFSS)ソフトウェアに記録しようとしていて、システムが PIX の syslog メッセージに応答しないことを示します。 この問題を解決するには、次のいずれかを実行します。

  • PFSS を実行している NT サーバで、サーバが PIX からの TCP syslog データを受け付けない問題を解決します。 よく見られる原因には、ハード ドライブに空きがない、syslog サービスが実行されていない、などがあります。

  • TCP syslog 機能を無効にし、標準の syslog ユーティリティ UDP に戻します。 これには、PIX のコマンドラインで logging host [in_if_name] ip_address [protocol/port] コマンドを実行します。 logging host ip_address と入力してから、protocol/port 部分を省略してコマンドを再入力します。 これで、デフォルトの標準プロトコル/ポートである UDP/514 に戻ります。

注: PIX および PFSS の「信頼性の高い TCP syslog」機能は、「PIX がログに記録できないものは実行しない」というセキュリティ ポリシーの実装を目的としています。 このポリシーを意図していない 場合は、「信頼性の高い TCP syslog」は実行しないでください。 代わりに、syslog サーバが使用不可の場合、着信および発信トラフィックをブロックしない、標準の syslog 機能を使用します。

Q. フラッシュ内の設定にアクセスする特定のコマンド(show config コマンド)を PIX で実行すると、「The flash device is in use by another task.」というエラーが表示されます。 これはどういう意味ですか。

A. このエラーは次のように表示されます。

pixfirewall#write memory
Building configuration...
Cryptochecksum: 386bb809 e4d28698 91990edb 8483760c
The flash device is in use by another task.
[FAILED]
Type help or '?' for a list of available commands.
pixfirewall# 

これはアクセスはにフラッシュするおよびそれ「坐っていること誰かが write terminal か同じようなコマンドを使用した PIX にもう一つのセッションがあることを意味します--more--」プロンプト。

これを確認するには、PIX のコンソールにログオンしたまま who コマンドを実行します。

PIX#who
0: 14.36.1.66
PIX#

この例では、14.36.1.66 からのユーザが、Telnet を介して PIX にログオンしています。 kill コマンドを使用して、そのユーザを強制的にログアウトさせることができます。

PIX#kill ?
usage: kill <telnet_id>
PIX#kill 0
PIX#who
PIX# 

このユーザがログアウトしたので、フラッシュ操作を実行できる状態になっています。 万一この方法で問題が解決されない場合には、PIX をリブートしてください。

Q. PIX は「ワンアーム型」構成で操作できますか。

A. できません。PIX の動作基盤である Adaptive Security Algorithm(ASA; アダプティブ セキュリティ アルゴリズム)のため、PIX を「ワンアーム型」構成で操作することはできません。 詳細については、『PIX ファイアウォールの理解』を参照してください。

たとえば、2 つのインターフェイス(Inside と Outside)を搭載した PIX を使用している場合、Inside インターフェイスに 10.1.1.0/24 ネットワークがあります。 このネットワークと離れたところに、10.1.2.0/24 ネットワークと接続したルータがあります。 次に、Inside インターフェイス(10.1.1.5)上にサーバが存在するとします。 このホストには PIX(10.1.1.1)の内部インターフェイスのデフォルト ゲートウェイがあります。 このシナリオにおいて、PIX のルーティング情報は正しいと仮定します。たとえば 10.1.2.0 255.255.255.0 10.1.1.254 の Inside の経路において、10.1.1.254 はルータの IP アドレスです。 10.1.1.5 ホストが 10.1.2.20 にパケットを送信でき、このパケットが PIX に行き、ルータに 10.1.1.254 でリダイレクトされ、宛先ホストに続くと考えるかもしれません。 ただし、これは事実ではないです。 PIX はルータのように ICMP リダイレクトを送信することはありません。 また、PIX は、パケットがその送信元のインターフェイスから再度送信される事を許可しません。 したがって、PIX は 10.1.1.5 のホストが宛先アドレス 10.1.2.20 でパケットを PIX の Inside インターフェイスに送信したものと想定し、このパケットを廃棄します。なぜならこのパケットは、自身が発信されたのと同じインターフェイス(Inside インターフェイス)を出るように指定されたものだからです。 このことは、内部インターフェイスだけでなく、すべての PIX インターフェイスにも共通します。 このシナリオにおける解決方法は、10.1.1.5 ホストのデフォルト ゲートウェイをルータのインターフェイス(10.1.1.254)に設定した後、ルータのデフォルト ゲートウェイを PIX(10.1.1.1)に向けさせることです。

/image/gif/paws/15247/pixfaq_01.gif

Q. PIX をスイッチ上のトランク ポートに接続した場合、PIX は正しく動作しますか。

A. はい。ただし、PIX で 802.1Q カプセル化を設定する必要があります。 「PIX のインターフェイスは 802.1Q をサポートしていますか。」を参照してください。

Q. PIX のコンソール ポートでタイムアウトは設定できますか。

A. できます。これはバージョン 6.3 の新機能です。 console timeout コマンドを参照してください。

Q. PIX で送信元アドレス ベースの NAT を実行できることはわかっていますが、宛先ベースの NAT は実行できますか。

A. 宛先ベースの NAT は、PIX バージョン 6.2 以降だけで実行できます。 詳細については、『PIX Firewall バージョン 6.2 に関するドキュメント』を参照してください。

Q. Network File System(NFS; ネットワーク ファイル システム)マウントが PIX で機能しません。 どこがおかしいのでしょうか。

A. PIX では、TCP のポートマッパ(ポート 111)はサポートされていません。 TCP の代わりに UDP を使用するように NFS を設定する必要があります。

Q. PIX では時間ベースの Access Control List(ACL; アクセス コントロール リスト)を使用できますか。

A. Cisco IOS とは異なり、PIX では時間ベースの ACL は実行しません。 PIX にアクセスするユーザを認証し、認証サーバがユーザのアクセスを特定の日時に制限する機能をサポートしている場合、PIX はこれらのユーザ拒否を受け付けます。

Q. PIX によって送信される syslog メッセージのテキストはカスタマイズできますか。

A. PIX で生成される syslog メッセージはオペレーティング システムにハードコードされているので、カスタマイズすることはできません。

Q. PIX では名前解決を実行できますか。

A. 正しく設定された PIX では、内部および外部デバイスが DNS を実行できるように Domain Name System(DNS; ドメイン ネーム システム)トラフィックの通過が許可されますが、PIX 自身ではネーム解決を行いません。

Q. PIXインターフェイスに Telnets については PIX syslog の" connection denied " メッセージ、また拒否を見ます。 しかし PIXインターフェイスに他のトラフィックについては拒否を見ません。 これは正常な状態ですか。

A. 6.2.2 より前のバージョンでは、PIX インターフェイスへのトラフィックに対する deny メッセージは、拒否された Telnet またはポート TCP/23 に制限されています。 6.2.3 および 6.3.1 では、新しい syslog メッセージが追加され、syslog ID 710003 により、PIX インターフェイス自身への拒否されたトラフィックが処理されるようになりました。

Q. PIX の Inside ネットワークから PIX の Outside インターフェイスに PING を送信できません。また、PIX の Outside のネットワークから PIX の Inside インターフェイスに PING を送信することもできません。 これは正常な状態ですか。

A. はい。Cisco IOS とは異なり、PIX では、PIX に PING を送信するデバイスの「遠端側」にあるインターフェイスへの ICMP 要求には応答しません。

Q. PIX は NTP サーバとして機能しますか。

A. いいえ。

Q. PIX で IPSec に使用されるデフォルト ポートを変更することは可能ですか。

A. いいえ。

Q. PIX は Dynamic Domain Name Services(DDNS)をサポートしていますか。

A. いいえ。

Q. Cisco Works Auto Update サーバと通信するように Cisco PIX Firewall を設定すると、すべてのトラフィックがファイアウォールを通過しなくなります。 これが起こる原因とその修正方法を教えてください。

A. Cisco PIX Firewall は、Auto Update サーバと通信するように設定されていて、かつ一定期間接続されていない場合には、新しい接続をすべて停止します。 管理者は、auto-update timeout period コマンドを使用して、タイムアウト期間の値を変更できます。

Auto Update の仕様では、PIX Firewall の設定およびソフトウェア イメージをダウンロードしたり、中央の拠点から基本モニタリングを実行するリモート管理アプリケーションに必要なインフラストラクチャを提供しています。 サーバとの通信に失敗した場合、PIX はすべてのトラフィックの通過を停止します。

Q. VPN トンネル経由で接続すると、PIX の Inside インターフェイスにアクセスできません。 これを実現するにはどうすればいいですか。

A. グローバル コンフィギュレーション モードで management-access コマンドを設定しない限り、PIX の Inside インターフェイスに Outside からアクセスすることはできません(その逆もできません)。 management-access を有効にした場合は、適切なホストに対して Telnet、SSH、または HTTP アクセスを設定する必要があります。

pix(config)#management-access inside
pix(config)#show running-config management-access
management-access inside

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 15247