Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

Introducción al comando alias para Cisco Secure PIX Firewall

18 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Nota: Estas funciones del comando han sido substituidas por el NAT, incluyendo el nacional y los comandos static por la palabra clave dns. Para configurar el DNS Doctoring con el NAT, refiera al PIX/ASA: Realice el DNS Doctoring con el comando static y el ejemplo de configuración o el PIX/ASA de dos interfaces NAT: Realice el DNS Doctoring con el comando static y el ejemplo de configuración de tres interfaces NAT. Para más información sobre el NAT, refiera a nacional y el usar nacionales, globales, estáticos, conducto, y los comandos access-list y redirección de puerto en el PIX.


Contenido


Introducción

Este documento explica el uso del comando alias en el Cisco Secure PIX Firewall.

El comando alias tiene dos funciones:

  • Usted puede utilizar el comando alias de realizar el DNS Doctoring de las contestaciones DNS de un servidor DNS externo.

    • En el DNS Doctoring, el PIX cambia la respuesta de DNS de un servidor DNS para ser una diversa dirección IP que el servidor DNS contestado realmente para un nombre determinado.

    • Se utiliza este proceso cuando usted quisiera que la llamada de la aplicación real del cliente interno conectara con un servidor interno de su IP Address interno.

  • Usted puede utilizar este comando de realizar el NAT de destino (dnat) de un IP Address de destino a otra dirección IP.

    • En el dnat, el PIX cambia el IP de destino de una llamada de la aplicación a partir de una dirección IP a otra dirección IP.

    • Se utiliza este proceso cuando usted quiere la llamada de la aplicación real del cliente interno al servidor en una red del perímetro (dmz) al lado de su IP Address externo. Esto “no cuida” las contestaciones DNS.

    Por ejemplo, si un host envía un paquete a 99.99.99.99, puede utilizar el comando alias para redirigir el tráfico a otra dirección, como 10.10.10.10. Además puede usar este comando para evitar conflictos cuando tiene direcciones IP en una red que son las mismas que aquéllas en Internet o en otra intranet. Consulte la documentación sobre PIX para más información.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en los Software Release 5.0.x y Posterior del Cisco Secure PIX Firewall.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Traduzca a una dirección interna con el DNS Doctoring

En el primer ejemplo, el servidor Web tiene una dirección IP de 10.10.10.10. El IP Address global de este servidor Web es 99.99.99.99.

Nota: El servidor DNS está en el exterior. Verifique que el servidor DNS resuelva su nombre de dominio a la dirección IP global del servidor Web al emitir un comando nslookup. El resultado del nslookup en PC del cliente es el IP Address interno del servidor (10.10.10.10). Esto es porque la contestación DNS consigue cuidada mientras que pasa con el PIX.

También observe que para que los arreglos de DNS trabajen correctamente, el Proxy-arp tiene que ser inhabilitado. Si usted utiliza el comando alias para los arreglos de DNS, Proxy-arp de la neutralización con el comando del internal_interface del noproxyarp del sysopt después de que ejecuten al comando alias.

Nota: Usted no puede utilizar el DNS Doctoring mientras que la redirección de puerto es funcionando.

Diagrama de la red

alias_01.gif

Si usted quisiera que la máquina con la dirección IP 10.10.10.25 accediera este servidor Web por su Domain Name (www.mydomain.com), implemente el comando alias como esta salida muestra:

alias (inside) 10.10.10.10 99.99.99.99 255.255.255.255

!--- This command sets up DNS Doctoring. It is initiated from the clients in
!--- the "inside" network. It watches for DNS replies that contain
!--- 99.99.99.99. Then it replaces the 99.99.99.99 address with the 10.10.10.10
!--- address in the "DNS reply" sent to the client PC.

Después, una traducción estática se debe crear para el servidor Web. Usted también necesita dar cualquiera en Internet el acceso al servidor Web en el puerto 80 (HTTP):

static(inside,outside) 99.99.99.99 10.10.10.10 netmask 255.255.255.255

!--- This command creates a static translation between the web server 
!--- real address of 10.10.10.10 to the global IP address 99.99.99.99.

Para conceder el permiso para el acceso, utilice los comandos access list, como esta salida muestra.

access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside

!--- These commands permit any outside user to access the web server on port 80. 

Si usted prefiere el más viejo sintaxis, usted puede utilizar un comando conduit mientras que esta salida muestra.

conduit permit tcp host 99.99.99.99 eq www any

!--- This command permits any outside user to access the web server on port 80.

Traduzca un direccionamiento DMZ con el NAT de destino

Si el servidor de red se encuentra en la red DMZ del PIX, es necesario usar el comando alias para realizar el NAT de destino (dnat). En este ejemplo, el servidor Web en el DMZ tiene una dirección IP de 192.168.100.10, y el IP Address externo para este servidor Web es 99.99.99.99. Utilice el dnat para traducir a la dirección IP 99.99.99.99 a 192.168.100.10 en la llamada real al servidor. Sigue habiendo la llamada y la contestación DNS sin cambiar. En este ejemplo la respuesta de DNS considerada por el cliente interno PC es la dirección IP 99.99.99.99 externa, puesto que no es DNS cuidado.

Diagrama de la red

alias_02.gif

En este ejemplo, el intento está para las máquinas en la red de 10.10.10.0 /24 para acceder este servidor Web en el DMZ por su Domain Name externo (www.mydomain.com). Usted no quisiera que el PIX hiciera el DNS Doctoring de las contestaciones DNS. En lugar, usted quiere el PIX al dnat la dirección IP (global) externa del servidor Web a su direccionamiento “real” DMZ (192.168.100.10).

Utilice el comando alias de realizar el dnat:

alias(inside) 99.99.99.99 192.168.100.10 255.255.255.255

!--- This sets up the Destination NAT. In this example the DNS reply is not
!--- doctored by the PIX because the external address (99.99.99.99) does not
!--- match the foreign IP address in the alias command (the second IP).
!--- But the call is "dnat-ed" because the destination address
!--- in the call matches the dnat IP address in the alias command (the first IP).

Nota: Los IP Addresses en el comando alias están en la orden inversa comparada con el ejemplo para el DNS Doctoring.

Después, una traducción estática se debe crear para el servidor Web. Usted también necesita dar cualquiera en Internet el acceso al servidor Web en el puerto 80 (HTTP):

static(dmz,outside) 99.99.99.99 192.168.100.10 netmask 255.255.255.255

!--- This command creates a static translation between the web server's
!--- real address 192.168.100.10 to the global IP address 99.99.99.99.

Para conceder el permiso para el acceso, utilice los comandos access list, como esta salida muestra.

access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside

!--- These commands permit any outside user to access the web server on port 80.

Si usted prefiere el más viejo sintaxis, usted puede utilizar un comando conduit mientras que esta salida muestra.

conduit permit tcp host 99.99.99.99 eq www any

!--- This command permits any outside user to access the web server on port 80.

Otras notas de configuración

  • La interfaz en el comando alias necesita ser la “interfaz” de la cual los clientes llaman.

  • Si hay también clientes en el DMZ, usted puede agregar otro alias para la interfaz DMZ (éste es DNS Doctoring).

    Por ejemplo, asuma que del ejemplo anterior que usted quisiera que otros clientes en el DMZ utilicen el externo DNS pero llamaran el servidor Web por su direccionamiento DMZ. Para hacer esto, cree un comando alias adicional, atado a la interfaz DMZ, para doctor DNS los paquetes de respuesta DNS.

    alias (dmz) 192.168.100.10 99.99.99.99 255.255.255.255
    
    !--- This command sets up DNS Doctoring. It is initiated from the clients in
    !--- the "dmz" network. It watches for DNS replies that contain
    !--- 99.99.99.99, then replaces the 99.99.99.99 address with the 192.168.100.10 
    !--- address in the "DNS reply" sent to the client PC.
    
    
  • Usted puede tener los comandos alias múltiples atados a diversas interfaces en el mismo PIX.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 6353