IP : Dispositivos de seguridad Cisco PIX de la serie 500

PIX/ASA 7.x y superior: Acceso al servidor del correo (S TP) en el ejemplo de la configuración de DMZ

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Esta configuración de muestra demuestra cómo configurar el dispositivo de seguridad del PIX/ASA para el acceso a un servidor mail/SMTP situado en la red de la zona desmilitarizada (DMZ).

Refiera al PIX/ASA 7.x y arriba: Acceso del mail server en el ejemplo de configuración de la red interna para las instrucciones en cómo configurar el dispositivo de seguridad del PIX/ASA para el acceso a un servidor mail/SMTP situado en la red interna.

Refiera al PIX/ASA 7.x con el acceso del mail server en el ejemplo de configuración de la red externa para las instrucciones en cómo configurar el dispositivo de seguridad del PIX/ASA para el acceso a un servidor mail/SMTP situado en la red externa.

Refiera a ASA 8.3 y posterior: Envíe el acceso al servidor (S TP) en el ejemplo de la configuración de DMZ para más información sobre la configuración idéntica en el dispositivo de seguridad adaptante de Cisco (ASA) con la versión 8.3 y posterior.

Nota: Refiera a la Documentación de Cisco para el Cisco Secure PIX Firewall para más información sobre cómo configurar el Microsoft Exchange. Elija su versión de software, después vaya a la guía de configuración y lea el capítulo en configurar el Microsoft Exchange.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Firewall PIX 535

  • Versión de Software PIX Firewall 7.1(1)

    Nota: La versión 7.x/8.x de la serie PIX 500 funciona con el mismo software considerado en la versión 7.x/8.x ASA 5500. Las configuraciones en este documento se aplican a ambas líneas de producto.

  • Cisco 2600 Router

  • Software Release 12.3.14T del ½ del ¿Â de Cisco IOSïÂ

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/69374-pix7x-mailserver-1.gif

Nota: Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son las direcciones RFC1918 que se han utilizado en un entorno de laboratorio.leavingcisco.com

Configuración de PIX

Este documento usa esta configuración:

Configuración de PIX
PIX Version 7.1(1) 
!
hostname pixfirewall
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0
 shutdown
 nameif BB
 security-level 0
 no ip address
!
interface Ethernet1
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet2
 no nameif
 no security-level
 no ip address
!
interface Ethernet3
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0 
!
interface Ethernet4
 nameif outside
 security-level 0
 ip address  192.168.200.225 255.255.255.224 
!
interface Ethernet5
 nameif dmz
 security-level 10
 ip address 172.16.31.1 255.255.255.0 
!
passwd 2KFQnbNIdI.2KYOU encrypted
boot system flash:/pix711.bin
ftp mode passive


!--- This access list allows hosts to access 
!--- IP address  192.168.200.227 for the 
!--- Simple Mail Transfer Protocol (SMTP) port.

 
access-list outside_int extended permit tcp any host  192.168.200.227 eq smtp 


!--- Allows outgoing SMTP connections.
!--- This access list allows host IP 172.16.31.10
!--- sourcing the SMTP port to access any host.


access-list dmz_int extended permit tcp host 172.16.31.10 any eq smtp

pager lines 24
mtu BB 1500
mtu inside 1500
mtu outside 1500
mtu dmz 1500  
no failover
no asdm history enable
arp timeout 14400
global (outside) 1  192.168.200.228-192.168.200.253 netmask 255.255.255.224
global (outside) 1  192.168.200.254
nat (inside) 1 10.1.1.0 255.255.255.0


!--- This network static does not use address translation. 
!--- Inside hosts appear on the DMZ with their own addresses.


static (inside,dmz) 10.1.1.0 10.1.1.0 netmask 255.255.255.0


!--- This network static uses address translation. 
!--- Hosts accessing the mail server from the outside 
!--- use the  192.168.200.227 address.


static (dmz,outside)  192.168.200.227 172.16.31.10 netmask 255.255.255.255
access-group outside_int in interface outside
access-group dmz_int in interface dmz
route outside 0.0.0.0 0.0.0.0  192.168.200.226 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!

!--- The inspect esmtp command (included in the map) allows  
!--- SMTP/ESMTP to inspect the application.


policy-map global_policy
 class inspection_default
  inspect dns maximum-length 512 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect netbios 
  inspect rsh 
  inspect rtsp 
  inspect skinny 
  inspect esmtp
  inspect sqlnet 
  inspect sunrpc 
  inspect tftp 
  inspect sip 
  inspect xdmcp 
!

!--- The inspect esmtp command (included in the map) allows  
!--- SMTP/ESMTP to inspect the application.

service-policy global_policy global
Cryptochecksum:2653ce2c9446fb244b410c2161a63eda
: end
[OK]

Configuración ESMTP TLS

Nota: Si usted utiliza el cifrado de Transport Layer Security (TLS) para la comunicación del email entonces la característica del La inspección ESMTP (habilitada por abandono) en el PIX cae los paquetes. Para permitir los email con TLS habilitó, inhabilita la característica del La inspección ESMTP como esta salida muestra. Refiera al Id. de bug Cisco CSCtn08326 (clientes registrados solamente) para más información.

pix(config)#policy-map global_policy
pix(config-pmap)#class inspection_default
pix(config-pmap-c)#no inspect esmtp
pix(config-pmap-c)#exit
pix(config-pmap)#exit

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

Comandos para resolución de problemas

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.

  • haga el debug de la traza ICMP — Muestra si las peticiones del Internet Control Message Protocol (ICMP) de los host alcanzan el PIX. Usted necesita agregar el comando access-list de permitir el ICMP en su configuración para ejecutar este debug.

    Nota: Para utilizar este debug, aseegurese le permitir el ICMP en el outside_int de la lista de acceso como esta salida muestra:

    access-list outside_int extended permit tcp any host  192.168.200.227 eq smtp 
    access-list outside_int extended permit icmp any any 
  • debugging de memoria intermedia de registro — Muestra las conexiones que se establecen y se niegan a los host que pasan con el PIX. La información se salva en el búfer del registro PIX, y la salida se puede considerar con el comando show log.

Refiera a configurar el syslog PIX para más información sobre cómo configurar el registro.


Información Relacionada


Document ID: 69374