会議 : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA 7.x: nat、global、static および access-list コマンドを使用したポート リダイレクション(フォワーディング)

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2009 年 4 月 17 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

Cisco PIX セキュリティ アプライアンス バージョン 7.0 を実装した場合のセキュリティを最大にするには、nat-controlnatglobalstaticaccess-list および access-group の各コマンドを使用する際に、セキュリティの高いインターフェイスと低いインターフェイスの間をパケットが流れるしくみを理解することが重要です。 このドキュメントでは、これらのコマンド間の違い、ポート リダイレクション(フォワーディング)を設定する方法、および Command Line Interface(CLI; コマンドライン インターフェイス)または Adaptive Security Device Manager(ASDM)を使用した PIX ソフトウェア バージョン 7.x での Outside の Network Address Translation(NAT; ネットワーク アドレス変換)機能について説明しています。

ASDM 5.2 以降の一部のオプションは、ASDM 5.1 のオプションとは異なって表示される可能性があります。 詳細は、『ASDM ドキュメント』を参照してください。

前提条件

要件

ASDM でデバイスを設定できるようにする方法については、『ASDM 用の HTTPS アクセスの許可』を参照してください。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco PIX 500 シリーズ セキュリティ アプライアンス ソフトウェア バージョン 7.0 以降

  • ASDM バージョン 5.x 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この設定は、Cisco ASA セキュリティ アプライアンス バージョン 7.x 以降でも使用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ネットワーク図

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-1-new.gif

この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。 これらはラボ環境で使用された RFC 1918 でのアドレスです。

初期設定

インターフェイス名は次のとおりです。

  • interface ethernet 0:Outside の nameif

  • interface ethernet 1:Inside の nameif

このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

アウトバウンド アクセスの許可

アウトバウンド アクセスは、セキュリティ レベルの高いインターフェイスからセキュリティ レベルの低いインターフェイスへの接続を意味します。 これには、inside から outside への接続、inside から非武装地帯(DMZ)への接続、および DMZ から outside への接続が含まれます。 発信元インターフェイスのセキュリティ レベルが宛先より高いという条件下では、ある DMZ から別の DMZ への接続もこれに含まれる可能性があります。 これを確認するには、PIX インターフェイス上の「セキュリティ レベル」設定を確認します。

次の例は、セキュリティ レベルとインターフェイス名の設定を示しています。

pix(config)#interface ethernet 0
pix(config-if)#security-level 0
pix(config-if)#nameif outside
pix(config-if)#exit      

PIX 7.0 では nat-control コマンドが導入されています。 コンフィギュレーション モードで nat-control コマンドを使用すると、Outside 通信用に NAT が必要であるかどうかを指定できます。 NAT 制御をイネーブルにすると、PIX ソフトウェアの以前のバージョンと同じように、アウトバウンド トラフィックを許可するために NAT ルールの設定が必要です。 NAT 制御がディセーブルになっている場合(no nat-control)、Inside ホストは、NAT ルールの設定なしで、Outside ネットワークと通信できます。 ただし、パブリック アドレスを持たない Inside ホストがある場合は、これらのホスト用に NAT を設定する必要があります。

ASDM を使用して NAT 制御を設定するには、ASDM Home ウィンドウから Configuration タブを選択し、機能メニューから NAT を選択します。

Enable traffic through the firewall without translation: このオプションは PIX バージョン 7.0(1) で導入されました。 このオプションにチェックマークが付いていると、コンフィギュレーションでは nat-control コマンドは発行されません。 このコマンドは、ファイアウォールを通過するために変換が必要ではないことを意味します。 通常、このオプションにチェックマークが付いているのは、内部ホストにパブリック IP アドレスがある場合、またはネットワーク トポロジで内部ホストが IP アドレスに変換される必要がない場合だけです。

内部ホストにプライベート IP アドレスがある場合は、このオプションのチェックマークを外して、内部ホストをパブリック IP アドレスに変換でき、内部ホストがインターネットにアクセスできるようにする必要があります。

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-a.gif

NAT 制御を使用してアウトバウンド アクセスを許可するために必要な 2 つのポリシーがあります。 最初のポリシーは変換方式です。 変換方式は static コマンドを使用したスタティック変換、または nat/global ルールを使用したダイナミック変換のどちらかになります。 NAT 制御がディセーブルになっていて、Inside ホストがパブリック アドレスを持っている場合、この変換方式は必要ありません。

(NAT 制御がイネーブルになっているかディセーブルになっているかに関係なく適用される)アウトバウンド アクセスのもう 1 つの要件は、Access Control List(ACL; アクセス コントロール リスト)が存在するかどうかです。 ACL が存在する場合、ACL は特定のプロトコルとポートを使用して、発信元ホストが宛先ホストにアクセスするのを許可する必要があります。 デフォルトでは、PIX 経由のアウトバウンド接続に対するアクセス制限はありません。 これは、発信元インターフェイスに ACL が設定されていない場合、デフォルトでは、変換方式が設定されていればアウトバウンド接続が可能になることを意味します。

NAT を使用した inside ホストから outside ネットワークへのアクセスの許可

この設定では、サブネット 10.1.6.0/24 上のすべてのホストに外部へのアクセスが付与されます。 これを行うには、手順で示すように、nat コマンドと global コマンドを使用します。

  1. NAT に含める Inside グループを定義します。

    nat (inside) 1 10.1.6.0 255.255.255.0
    
  2. NAT 文で定義されるホストが変換される outside インターフェイスのアドレスのプールを規定 して下さい。

     global (outside) 1 172.16.1.5-172.16.1.10 netmask 255.255.255.0
    
  3. グローバル アドレス プールを作成するには、ASDM を使用します。 Configuration > Features > NAT の順に選択し、Enable traffic through the firewall without address translation のチェックマークを外します。 続いて Add をクリックして、NAT Rule を設定します。

    pix70-asa-portredir-b.gif

  4. [Manage Pools] をクリックして、NAT プール アドレスを定義します。

    pix70-asa-portredir-c.gif

  5. Outside > Add の順に選択して、範囲を選択し、アドレスのプールを指定します。

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-d.gif

  6. アドレス範囲を入力し、Pool ID を入力して OK をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-e.gif

  7. Configuration > Features > NAT > Translation Rules の順に選択して、変換ルールを作成します。

  8. 発信元インターフェイスとして Inside を選択し、NAT を適用するアドレスを入力します。

  9. Translate Address on Interface では、Outside を選択し、Dynamic を選択して、設定したアドレス プールを選択します。

  10. [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-f.gif

  11. Configuration > Features > NAT > Translation Rules の順に選択すると、Translation Rules に変換が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-g.gif

    これで、内部のホストは外部ネットワークにアクセスできます。 内部のホストは外部へ接続を開始すると、グローバル プールのアドレスに変換されます。 アドレスは、先着順、先に変換される順に、グローバル プール内の一番低いアドレスから割り当てられます。 たとえば、ホスト 10.1.6.25 が最初に Outside への接続を開始すると、アドレス 172.16.1.5 が割り当てられます。 次のホストには 172.16.1.6 が割り当てられ、このしくみが繰り返されます。 これは timeout xlate hh によって定義されるように不活動期間以降にスタティック トランスレーションおよび変換時ではないです: mm: ss は命じます。 プール内のアドレスよりも多くの Inside ホストが存在する場合、プールの最後のアドレスが Port Address Translation(PAT; ポート アドレス変換)に使用されます。

PAT を使用した Inside ホストから Outside ネットワークへのアクセスの許可

変換用に inside ホストで 1 つのパブリック アドレスを共有する場合は PAT を使用します。 global ステートメントに 1 つのアドレスが指定されている場合、そのアドレスはポート変換されます。 PIX ではインターフェイスごとに 1 つのポート変換が可能であり、この変換では、単一のグローバル アドレスへのアクティブな xlate オブジェクトが最大で 65,535 個サポートされます。 PAT を使用して Inside ホストが Outside ネットワークにアクセスするのを許可するには、次の手順を実行します。

  1. PAT に含める Inside グループを定義します(0 0 を使用すると、すべての Inside ホストを選択することになります)。

    nat (inside) 1 10.1.6.0 255.255.255.0
    
  2. PAT で使用するグローバル アドレスを指定します。 このアドレスには、インターフェイス アドレスを使用できます。

    global (outside) 1 172.16.1.4 netmask 255.255.255.0 
  3. ASDM で Configuration > Features > NAT の順に選択し、Enable traffic through the firewall without address translation のチェックマークを外します。

  4. Add をクリックして、NAT ルールを設定します。

  5. Manage Pools をクリックして、PAT アドレスを設定します。

  6. Outside > Add の順に選択し、Port Address Translation (PAT) をクリックして、PAT 用の 1 つのアドレスを設定します。

  7. アドレスを入力し、Pool ID を入力して、OK をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-h.gif

  8. Configuration > Features > NAT > Translation Rules の順に選択して、変換ルールを作成します。

  9. 発信元インターフェイスとして inside を選択し、NAT を適用するアドレスを入力します。

  10. Translate Address on Interface では、outside を選択し、Dynamic を選択して、設定したアドレス プールを選択します。 [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-i.gif

  11. Configuration > Features > NAT > Translation Rules の順に選択すると、Translation Rules に変換が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-j.gif

PAT を使用するときは、次の事項を考慮する必要があります。

  • 別のグローバル アドレス プール内にある IP アドレスは PAT では指定できない。

  • PAT は H.323 アプリケーション、キャッシング ネーム サーバ、および Point-to-Point Tunneling Protocol(PPTP; ポイントツーポイント トンネリング プロトコル)と連携して機能させることはできません。 PAT は、Domain Name Service(DNS)、FTP と受動 FTP、HTTP、メール、Remote-Procedure Call(RPC; リモート プロシージャ コール)、rshell、Telnet、URL フィルタリング、および発信 traceroute とは連携します。

  • ファイアウォール経由でマルチメディア アプリケーションを実行する必要があるときは、PAT を使用しない。 マルチメディア アプリケーションは、PAT によって提供されるポート マッピングと競合する可能性があります。

  • PIX ソフトウェア リリース 4.2(2) では、逆順で着信する IP データ パケットに対しては PAT 機能が働かない。 PIX ソフトウェア リリース 4.2(3) ではこの問題が修正されています。

  • global コマンドで指定されたグローバル アドレスのプール内の IP アドレスは、すべての外部ネットワーク アドレスを PIX でアクセス可能にするために、逆 DNS エントリを必要とする。 逆 DNS マッピングを作成するには、アドレスとホスト名のマッピング ファイルにある、各グローバル アドレスに対応する DNS Pointer(PTR)レコードを使用します。 PTR エントリがない場合、サイトではインターネット接続が低速または断続的になる可能性があり、FTP 要求では常にエラーが発生します。

    たとえば、グローバル IP アドレスが 192.168.1.3 で PIX セキュリティ アプライアンスのドメイン名が pix.caguana.com の場合、PTR レコードは次のようになります。

    3.1.1.175.in-addr.arpa. IN PTR 
    pix3.caguana.com
     4.1.1.175.in-addr.arpa. IN PTR 
    pix4.caguana.com & so on.

inside ホストから outside ネットワークへのアクセスの制限

有効な変換方式が発信元ホストに対して定義されており、ACL が発信元 PIX インターフェイスに対して定義されていない場合、デフォルトでアウトバウンド接続が許可されます。 ただし状況によっては、発信元、宛先、プロトコル、ポートのいずれかまたはすべてに基づいたアウトバウンド アクセス制限が必要です。 そのためには、access-list コマンドで ACL を設定し、access-group コマンドでその ACL を接続発信元の PIX インターフェイスに適用する必要があります。 PIX 7.0 ACL は、インバウンドとアウトバウンド両方の方向に適用できます。 次に示す手順は、1 つのサブネットに関してはアウトバウンド HTTP アクセスを許可する一方で、他のすべてのホストによる Outside への HTTP アクセスを拒否し、それ以外のすべての IP トラフィックをすべての人に対して許可する例です。

  1. ACL を定義します。

    access-list acl_outbound permit tcp 10.1.6.0 255.255.255.0 any eq www
    access-list acl_outbound deny tcp any any eq www
    access-list acl_outbound permit ip any any      

    PIX ACL は Cisco IOS の ACL と異なりますか。 それのルータは PIX Cisco IOS のようなワイルドカード マスクを使用しません。 その代わりに、正規のサブネット マスクを ACL 定義で使用します。 Cisco IOS ルータと同様に、PIX の ACL には暗黙的な「deny all」が ACL の最後に存在します。

    新しいアクセス リストエントリは既存の ACE の終わりに追加 されます。 最初に処理される特定の ACE を必要とする場合 access-list で line キーワードを使用できます。 これはサンプルコマンド概略です:

    access-list acl_outbound line 1 extended permit tcp host 10.1.10.225 any
  2. ACL を内部インターフェイスに適用します。

    access-group acl_outbound in interface inside
    
  3. ASDM を使用して、ステップ 1 の最初の access-list エントリを設定し、10.1.6.0/24 からの HTTP トラフィックを許可します。 Configuration > Features > Security Policy > Access Rules の順に選択します。

  4. Add をクリックし、このウィンドウに表示される情報を入力し、OK をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-9.gif

  5. 3 つの access-list エントリを入力したら、Configuration > Feature > Security Policy > Access Rules の順に選択し、これらのルールを表示します。

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-10.gif

信頼できないホストから信頼できるネットワーク上のホストへのアクセスの許可

ほとんどの組織では、その組織の信頼できるネットワーク内にあるリソースに対して信頼できないホストのアクセスを許可する必要があります。 その一般的な例は、社内 Web サーバです。 デフォルトでは、PIX は外部ホストから内部ホストへの接続を拒否します。 NAT 制御モードでこの接続を許可するには、static コマンドを access-list コマンドおよび access-group コマンドと組み合せて使用します。 NAT 制御がディセーブルになっている場合、変換を行わないのであれば、access-list コマンドと access-group コマンドのみが必要です。

access-group コマンドで ACL をインターフェイスに適用します。 このコマンドにより ACL がインターフェイスに関連付けられ、特定の方向に流れるトラフィックが検査されます。

Inside ホストの外部へのアクセスを許可する nat および global コマンドとは対照的に、static コマンドでは、適切な ACL/グループが追加されている場合、両方向の変換が作成され、Inside ホストによる外部へのアクセスと Outside ホストによる内部へのアクセスが許可されます。

このドキュメントで示した PAT の設定例では、Outside ホストからのグローバル アドレスへの接続が試みられると、そのアドレスが多数の Inside ホストに使用されてしまう可能性があります。 static コマンドでは 1 対 1 のマッピングが作成されます。 access-list コマンドでは Inside ホストに許可される接続のタイプが定義され、これはセキュリティ レベルの低いホストが高いホストに接続する場合には常に必要です。 access-list コマンドはポートとプロトコルの両方に基づき、またシステム管理者の裁量に基づいてアクセスを緩やかに許容したり、逆に厳しく制限したりできます。

このドキュメント内の「ネットワーク ダイアグラム」では、これらのコマンドを使用して、すべての信頼できないホストが Inside Web サーバに接続でき、信頼できないホスト 192.168.1.1 が同じマシン上の FTP サービスにアクセスできるように PIX を設定する例を示しています。

PIX バージョン 7.0 以降での ACL の使用

PIX ソフトウェア バージョン 7.0 以降で、ACL を使用して次の手順を実行します。

  1. NAT 制御がイネーブルになっている場合、Inside Web サーバに対して、Outside アドレスまたはグローバル アドレスへのスタティック アドレス変換を定義します。

    static (inside, outside)  172.16.1.16 10.16.1.16
    
  2. どのホストがどのポートを使用して Web/FTP サーバに接続できるかを定義します。

    access-list 101 permit tcp any host  172.16.1.16 eq www
    access-list 101 permit tcp host  192.168.1.1 host  172.16.1.16 eq ftp      
  3. アクセスリストを、アクセスグループを使って外部インターフェイスに適用します。

    access-group 101 in interface outside      
  4. ASDM を使用してこのスタティック変換を作成するには、Configuration > Features > NAT の順に選択して、Add をクリックします。

  5. 発信元インターフェイスとして inside を選択し、スタティック変換を作成する対象である内部アドレスを入力します。

  6. Static を選択し、変換先 Outside アドレスを IP address フィールドに入力します。 [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-k.gif

  7. Configuration > Features > NAT > Translation Rules の順に選択すると、Translation Rules に変換が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-l.gif

  8. Inside ホストから Outside ネットワークへのアクセスの制限」の手順を使用して、access-list のエントリを入力します。

    これらのコマンドを実装する際には注意が必要です。 access-list 101 permit ip any any コマンドを実装すると、アクティブな変換がある限り、信頼できないネットワーク上の任意のホストが、信頼できるネットワークの任意のホストに IP を使用してアクセスできます。

特定のホストおよびネットワークでの NAT の無効化

NAT 制御を使用し、Inside ネットワーク上にパブリック アドレスが存在し、特定の Inside ホストが変換なしで Outside にアクセスできるようにする必要がある場合は、nat 0 または static コマンドを使用して、これらのホストに対して NAT をディセーブルにすることができます。

nat コマンドの例を次に示します。

nat (inside) 0 10.1.6.0 255.255.255.0 

ASDM を使用して特定のホスト/ネットワークに対して NAT をディセーブルにするには、次の手順を実行します。

  1. Configuration > Features > NAT の順に選択し、Add をクリックしします。

  2. 発信元インターフェイスとして inside を選択し、スタティック変換を作成する対象である内部アドレス/ネットワークを入力します。

  3. Dynamic を選択し、Address Pool には同じアドレスを選択します。 [OK] をクリックします。

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-14.gif

  4. Configuration > Features > NAT > Translation Rules の順に選択すると、Translation Rules に新しいルールが表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-15.gif

  5. (発信元と宛先に基づいて)変換しないトラフィックをより細かく制御できる ACL を使用する場合は、次のコマンドを使用します。

    access-list 103 permit ip 10.1.6.0 255.255.255.0 any
    nat (inside) 0 access-list 103  
  6. ASDM を使用し、Configuration > Features > NAT > Translation Rules の順に選択します。

  7. Translation Exemption Rules を選択し、Add をクリックしします。

    次の例に、10.1.6.0/24 ネットワークから任意の場所へのトラフィックを変換から除外する方法を示します。

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-16.gif

  8. Configuration > Features > NAT > Translation Exemption Rules の順に選択して、新しいルールを表示します。

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-17.gif

  9. Web サーバに対する static コマンドは、次の例に示すように変わります。

    static (inside, outside) 10.16.1.16 10.16.1.16
    
  10. ASDM から、Configuration > Features > NAT > Translation Rules の順に選択します。

  11. Translation Rules を選択し、Add をクリックしします。 発信元アドレス情報を入力し、Static を選択します。 IP Address フィールドに同じアドレスを入力します。

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-m.gif

  12. Configuration > Features > NAT > Translation Rules の順に選択すると、Translation Rules に変換が表示されます。

    http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-n.gif

  13. ACL を使用する場合は、次のコマンドを使用します。

    access-list 102 permit tcp any host 10.16.1.16 eq www
    access-group 102 in interface outside  

    ASDM での ACL の設定についての詳細は、このドキュメントの「Inside ホストから Outside ネットワークへのアクセスの制限」セクションを参照してください。

    ネットワーク/マスクを指定しながら nat 0 を使用する場合と、Inside からのみの接続開始を許可するネットワーク/マスクを使う ACL を使用する場合の違いに注意してください。 nat 0 とともに ACL を使用すると、インバウンドまたはアウトバウンド トラフィックによる接続の開始が可能になります。 PIX インターフェイスを別のサブネットに配置して、到達可能性に問題が発生しないようにする必要があります。

static を使用したポート リダイレクション(フォワーディング)

PIX 6.0 では、ポート リダイレクション(フォワーディング)機能が追加されたことにより、Outside ユーザが特定の IP アドレス/ポートに接続し、PIX がトラフィックを適切な Inside サーバ/ポートにリダイレクトすることが可能になりました。 また、static コマンドが変更されています。 共有アドレスを一意のアドレスまたは共有アウトバウンド PAT アドレスにしたり、外部インターフェイスと共有させることができます。 この機能は、PIX 7.0 で利用できます。

スペースの制限のため、コマンドは 2 行で表示しています。

static [(internal_if_name, external_if_name)] 
{global_ip|interface}local_ip [netmask mask] [max_conns 
[emb_limit [norandomseq]]]


static [(internal_if_name, external_if_name)] {tcp|udp} 
{global_ip|interface} global_port local_ip local_port 
[netmask mask] [max_conns [emb_limit [norandomseq]]]

スタティック NAT で変換に Outside IP(global_IP)アドレスを使用すると、これにより変換が行われる可能性があります。 そのため、スタティック変換では IP アドレスではなくキーワード interface を使用します。

このネットワークの例でのポート リダイレクション(フォワーディング)は次のようになります。

  • 外部ユーザは Telnet 要求を一意の IP アドレス 172.18.124.99 に送り、PIX はこれを 10.1.1.6 にリダイレクトする。

  • 外部ユーザは FTP 要求を一意の IP アドレス 172.18.124.99 に送り、PIX はこれを 10.1.1.3 にリダイレクトする。

  • 外部ユーザは Telnet 要求を PAT アドレス 172.18.124.208 に送り、PIX はこれを 10.1.1.4 にリダイレクトする。

  • 外部ユーザは Telnet 要求を PIX Outside IP アドレス 172.18.124.216 に送り、PIX はこれを 10.1.1.5 にリダイレクトする。

  • 外部ユーザは HTTP 要求を PIX 外部 IP アドレス 172.18.124.216 に送り、PIX はこれを 10.1.1.5 にリダイレクトする。

  • 外部ユーザは HTTP ポート 8080 要求を PAT アドレス 172.18.124.208 に送り、PIX はこれを 10.1.1.7 のポート 80 にリダイレクトする。

またこの例では、ACL 100 を使用して一部のユーザによる Inside から Outside へのアクセスをブロックします。 この手順はオプションです。 ACL を設定しなければ、すべてのトラフィックは発信が許可されます。

ネットワーク ダイアグラム:ポート リダイレクション(フォワーディング)

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-20.gif

PIX 部分設定 - ポートリダイレクション

次に抜粋した設定では、スタティック ポート リダイレクション(フォワーディング)の使用方法を示しています。 「ポート リダイレクション(フォワーディング)のネットワーク ダイアグラム」を参照してください。

PIX 7.x 設定の抜粋:ポート リダイレクション(フォワーディング)
fixup protocol ftp 21

!--- Use of an outbound ACL is optional.

access-list 100 permit tcp 10.1.1.0 255.255.255.128 any eq www
access-list 100 deny tcp any any eq www
access-list 100 permit tcp 10.0.0.0 255.0.0.0 any
access-list 100 permit udp 10.0.0.0 255.0.0.0 host 172.18.124.100 eq domain 

access-list 101 permit tcp any host 172.18.124.99 eq telnet 
access-list 101 permit tcp any host 172.18.124.99 eq ftp 
access-list 101 permit tcp any host 172.18.124.208 eq telnet 
access-list 101 permit tcp any host 172.18.124.216 eq telnet 
access-list 101 permit tcp any host 172.18.124.216 eq www 
access-list 101 permit tcp any host 172.18.124.208 eq 8080


interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.18.124.216 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.2 255.255.255.0
!

global (outside) 1 172.18.124.208
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside,outside) tcp 172.18.124.99 telnet 10.1.1.6 
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.99 ftp 10.1.1.3 
   ftp netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 telnet 10.1.1.4 
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface telnet 10.1.1.5 
   telnet netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www 10.1.1.5 
   www netmask 255.255.255.255 0 0
static (inside,outside) tcp 172.18.124.208 8080 10.1.1.7 
   www netmask 255.255.255.255 0 0

!--- Use of an outbound ACL is optional.

access-group 100 in interface inside
access-group 101 in interface outside

PIX/ASA が sysopt noproxyarp 外部コマンドで設定される場合、ファイアウォールが PIX/ASA のプロキシ アドレス対応プロトコルおよび静的NAT交換をしないようにしません。 これを解決するために、PIX/ASA 設定の sysopt noproxyarp 外部コマンドを削除し、次に無償ARP の使用によって ARPエントリをアップデートして下さい。 これは静的NATエントリがうまく働くようにします。

この手順は、ポート リダイレクション(フォワーディング)を設定する方法の例で、外部ユーザは Telnet 要求を一意の IP アドレス 172.18.124.99 に送信でき、PIX はこれを 10.1.1.6 にリダイレクトします。

  1. ASDM を使用し、Configuration > Features > NAT > Translation Rules の順に選択します。

  2. Translation Rules を選択し、Add をクリックしします。

  3. Source Host/Network には、Inside IP アドレスの情報を入力します。

  4. Translate Address To では、Static を選択し、Outside IP アドレスを入力して、Redirect port にチェックマークを付けます。

  5. 変換前および変換後のポート情報を入力します(この例ではポート 23 が維持されます)。 [OK] をクリックします。

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-21.gif

Configuration > Features > NAT > Translation Rules の順に選択すると、Translation Rules に変換が表示されます。

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/63872-pix70-asa-portredir-22.gif

static を使用した TCP/UDP セッションの制限

TCP または UDP セッションを PIX/ASA 内に配置されている内部サーバに制限する必要がある場合は、static コマンドを使用します。

サブネット全体の同時 TCP および UDP 接続の最大数を指定します。 デフォルトは 0 で、接続が無制限であることを意味します(アイドル状態の接続は、timeout conn コマンドにより指定されたアイドル タイムアウトが経過した後に閉じられます)。 このオプションは、Outside NAT に適用されません。 セキュリティ アプライアンスは、セキュリティ レベルの高いインターフェイスからセキュリティ レベルの低いインターフェイスへの接続のみを追跡します。

初期接続数を制限すると、DoS 攻撃からの保護になります。 セキュリティ アプライアンスは、初期制限を使用して TCP インターセプトをトリガします。これにより、TCP SYN パケットでインターフェイスをフラッディングすることにより行われる DoS 攻撃から Inside システムが保護されます。 初期接続は、発信元と宛先の間で必要なハンドシェイクを完了していない接続要求です。 このオプションは、Outside NAT に適用されません。 TCP インターセプト機能は、セキュリティ レベルの高いホストまたはサーバにのみ適用されます。 Outside NAT に初期制限を設定した場合、初期制限は無視されます。

次に、例を示します。

ASA(config)#static (inside,outside) tcp 10.1.1.1 www 10.2.2.2 www tcp 500 100 

!--- The maximum number of simultaneous tcp connections the local IP
!--- hosts are to allow is 500, default is 0 which means unlimited
!--- connections. Idle connections are closed after the time specified
!--- by the timeout conn command
!--- The maximum number of embryonic connections per host is 100.

%PIX-3-201002: 余りにも多くの接続{スタティック|xlate} global_address! econns nconns

これは接続に関連したメッセージです。 このメッセージがログに記録されるのは、指定のスタティック アドレスへの最大接続数を超えた場合です。 econns 変数は初期接続の最大数で、nconns は static または xlate に許可されている接続の最大数です。

スタティック アドレスへの接続に課せられている制限を確認するには、show static コマンドを使用することを推奨いたします。 この制限は設定可能です。

%ASA-3-201011: 接続制限は 10.1.26.51/2393 からインターフェイスの 10.0.86.155/135 まで着信パケットのための 1000/1000 を外部で超過しました

このエラーメッセージは Cisco バグ ID CSCsg52106登録ユーザのみ)が原因です。 詳細は、このバグを参照してください。

時間ベースのアクセス リスト

時間範囲を作成してもデバイスへのアクセスは制限されません。 time-range コマンドで定義されるのは時間範囲だけです。 時間範囲を定義してから、これをトラフィック ルールやアクションに適用できます。

時間ベース ACL を実装するには、time-range コマンドを使用して、日および曜日の特定の時間を定義します。 続いて with the access-list extended time-range コマンドを使用して、その時間範囲を ACL にバインドします。

時間範囲はセキュリティ アプライアンスのシステム クロックに基づきます。 ただし、この機能は NTP 同期とともに使用すると最も効果的です。

時間範囲を作成し、時間範囲の設定モードを入ると、absolute および periodic コマンドを使用して時間範囲のパラメータを定義できます。 time-range コマンドの absolute キーワードと periodic キーワードをデフォルト設定に復元するには、時間範囲設定モードで default コマンドを使用します。

時間ベース ACL を実装するには、time-range コマンドを使用して、日および曜日の特定の時間を定義します。 続いて with the access-list extended コマンドを使用して、時間範囲を ACL にバインドします。 次の例では、「Sales」という名前の ACL を「New York Minute」という名前の時間範囲にバインドしています。

この例では、「New York Minute」という名前の時間範囲を作成し、時間範囲設定モードに入ります。

hostname(config)#time-range New_York_Minute
hostname(config-time-range)#periodic weekdays 07:00 to 19:00
hostname(config)#access-list Sales line 1 extended deny ip any any time-range New_York_Minute
hostname(config)#access-group Sales in interface inside

テクニカルサポートのサービス リクエストをオープンする際に収集する情報

依然としてサポートが必要で、Cisco テクニカルサポートでサービス リクエストをオープンする場合は、ご使用の PIX セキュリティ アプライアンスのトラブルシューティングにために、必ず下記の情報を添付するようにしてください。
  • 問題の説明と関連するトポロジの詳細
  • サービス リクエストをオープンする前のトラブルシューティングに使用した手順
  • show tech-support コマンドの出力
  • logging buffered debugging コマンド実行後の show log コマンドの出力、あるいは、問題を示す画面キャプチャ(採取されている場合)
収集したデータは、圧縮しないプレーン テキスト形式(.txt)でサービス リクエストに添付してください。 情報をサービス リクエストに添付するには、TAC Service Request Tool登録ユーザ専用)を使用します。 TAC Service Request Tool登録ユーザ専用)にアクセスできない場合は、情報を E メールの添付ファイルとし、メッセージの件名にサービス リクエスト番号を付けて attach@cisco.com 宛てに送信してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。


関連情報


Document ID: 63872