セキュリティ : Cisco IOS ファイアウォール

認証プロキシでの発信認証(CBAC および NAT)の設定

2002 年 10 月 30 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2007 年 7 月 3 日) | フィードバック

概要

この設定例では、認証プロキシによるブラウザの認証が実行されるまで、最初に内部ネットワーク上の(10.31.1.47 にある)ホスト デバイスからインターネット上のすべてのデバイスへのトラフィックをブロックします。サーバから継承されるアクセス リスト(permit tcp|ip|icmp any any)によって、ダイナミック エントリ事後認証が access list 116 に追加され、このデバイスからインターネットへのアクセスが一時的に許可されます。

ハードウェアとソフトウェアのバージョン

この設定は、次に示すソフトウェアとハードウェアのバージョンを使用して作成およびテストされました。

  • Cisco IOS(R) ソフトウェア リリース 12.0.7.T

  • Cisco 3640 ルータ

注:ip auth-proxy コマンドは、Cisco IOS リリース 12.0.5.T の時点で導入されました。この設定は、12.0.7.T を使用してテストしました。

ネットワーク ダイアグラム

設定

3640 ルータ
Current configuration:



!



version 12.0



service timestamps debug uptime



service timestamps log uptime



no service password-encryption



!



hostname security-3640



!



aaa new-model



aaa group server tacacs+|radius RTP



 server 171.68.118.115



!



aaa authentication login default local group RTP none



aaa authorization exec default group RTP none



aaa authorization auth-proxy default group RTP



enable secret 5 $1$vCfr$rkuU6HLmpbNgLTg/JNM6e1



enable password ww



!



username john password 0 doe



!



ip subnet-zero



!



ip inspect name myfw cuseeme timeout 3600



ip inspect name myfw ftp timeout 3600



ip inspect name myfw http timeout 3600



ip inspect name myfw rcmd timeout 3600



ip inspect name myfw realaudio timeout 3600



ip inspect name myfw smtp timeout 3600



ip inspect name myfw sqlnet timeout 3600



ip inspect name myfw streamworks timeout 3600



ip inspect name myfw tftp timeout 30



ip inspect name myfw udp timeout 15



ip inspect name myfw tcp timeout 3600



ip inspect name myfw vdolive



ip auth-proxy auth-proxy-banner



ip auth-proxy auth-cache-time 10



ip auth-proxy name list_a http



ip audit notify log



ip audit po max-events 100



cns event-service server



!



process-max-time 200



!



interface FastEthernet0/0



 ip address 10.31.1.150 255.255.255.0



 ip access-group 116 in



 no ip directed-broadcast



 ip nat inside



 ip inspect myfw in



 ip auth-proxy list_a



 no ip route-cache



 no ip mroute-cache



 no mop enabled



!



interface FastEthernet1/0



 ip address 11.11.11.11 255.255.255.0



 ip access-group 101 in



 no ip directed-broadcast



 ip nat outside



 no mop enabled



!



ip nat pool outsidepool 11.11.11.20 11.11.11.30 netmask 255.255.255.0



ip nat inside source list 1 pool outsidepool



ip classless



ip route 0.0.0.0 0.0.0.0 11.11.11.1



ip route 171.68.118.0 255.255.255.0 10.31.1.1



ip http server



ip http authentication aaa



!



access-list 1 permit 10.31.1.0 0.0.0.255



access-list 101 deny   ip 10.31.1.0 0.0.0.255 any



access-list 101 deny   ip 127.0.0.0 0.255.255.255 any



access-list 101 permit icmp any 11.11.11.0 0.0.0.255 unreachable



access-list 101 permit icmp any 11.11.11.0 0.0.0.255 echo-reply



access-list 101 permit icmp any 11.11.11.0 0.0.0.255 packet-too-big



access-list 101 permit icmp any 11.11.11.0 0.0.0.255 time-exceeded



access-list 101 permit icmp any 11.11.11.0 0.0.0.255 traceroute



access-list 101 permit icmp any 11.11.11.0 0.0.0.255 administratively-prohibited



access-list 101 permit icmp any 11.11.11.0 0.0.0.255 echo



access-list 116 permit tcp host 10.31.1.47 host 10.31.1.150 eq www



access-list 116 deny   tcp host 10.31.1.47 any



access-list 116 deny   udp host 10.31.1.47 any



access-list 116 deny   icmp host 10.31.1.47 any



access-list 116 permit tcp 10.31.1.0 0.0.0.255 any



access-list 116 permit udp 10.31.1.0 0.0.0.255 any



access-list 116 permit icmp 10.31.1.0 0.0.0.255 any



access-list 116 permit icmp 171.68.118.0 0.0.0.255 any



access-list 116 permit tcp 171.68.118.0 0.0.0.255 any



access-list 116 permit udp 171.68.118.0 0.0.0.255 any



dialer-list 1 protocol ip permit



dialer-list 1 protocol ipx permit



!



tacacs-server host 171.68.118.115



tacacs-server key cisco



radius-server host 171.68.118.115 auth-port 1645 acct-port 1646



radius-server key cisco



!



line con 0



 transport input none



line aux 0



line vty 0 4



 exec-timeout 0 0



 password ww



!



end

debug コマンドと show コマンド

debug コマンドを使用する前に、「デバッグ コマンドに関する重要な情報」を参照してください。

これらのコマンドおよびその他のトラブルシューティング情報については、「認証プロキシのトラブルシューティング」を参照してください。


関連情報

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 13889