Безопасность : Устройства защиты Cisco PIX серии 500

Общие сведения о команде alias для межсетевого экрана Cisco Secure PIX

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Примечание: Эта функциональность команды была заменена NAT, включая nat и статические команды с ключевым словом dns. Для настройки Исправления DNS с NAT обратитесь к PIX/ASA: Выполните Исправление DNS со статической Командой и Двумя Примерами конфигурации Интерфейсов NAT или PIX/ASA: Пример исправления DNS с помощью статической команды и трех интерфейсов NAT. Для дополнительных сведений о NAT обратитесь к nat и Использованию nat, глобального, статичного, conduit, и команды access-list и Перенаправление порта на PIX.


Содержание


Введение

В этом документе объясняется использование команды alias на межсетевом экране Cisco Secure PIX.

Команда alias имеет две функции:

  • Можно использовать команду alias для выполнения Исправления DNS ответов DNS от внешнего сервера DNS.

    • В Исправлении DNS PIX изменяет DNS - ответ от сервера DNS, чтобы быть другим IP-адресом, чем сервер DNS фактически ответил для данного имени.

    • Когда вы хотите вызов реального приложения от внутреннего клиента соединиться с внутренним сервером его внутренним IP-адресом, этот процесс используется.

  • Можно использовать эту команду для выполнения Преобразования сетевых адресов назначения (dnat) одного IP - адреса назначения к другому IP-адресу.

    • В dnat PIX изменяет IP - адрес назначения вызова приложения от одного IP-адреса до другого IP-адреса.

    • Когда вы хотите вызов реального приложения от внутреннего клиента к серверу в периметре (dmz) сеть ее внешним IP - адресом, этот процесс используется. Это не делает "доктора" ответы DNS.

    Например, если главный узел посылает пакет по адресу 99.99.99.99, то с помощью команды alias можно перенаправить трафик на другой адрес, например, 10.10.10.10. Также эту команду можно использовать для предотвращения конфликтов, если у вас в сети имеются такие же IP-адреса, что и в Интернете или другой внутренней сети. Консультируйтесь с документацией по межсетевому экрану (PIX) для получения дополнительной информации.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на Выпусках ПО межсетевого экрана Cisco Secure PIX 5.0.x и позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Преобразуйте внутренний адрес с исправлением DNS

В первом примере Web-сервер имеет IP-адрес 10.10.10.10. Глобальный IP-адрес этого Web-сервера 99.99.99.99.

Примечание: Сервер DNS находится на внешней стороне. Удостоверьтесь, что сервер DNS разрешает доменное имя для глобального IP-адреса веб-сервера при помощи команды nslookup. Результатом nslookup на клиентском компьютере является внутренний IP-адрес сервера (10.10.10.10). Это вызвано тем, что ответ DNS становится сфабрикованным, поскольку он проходит через PIX.

Также обратите внимание, что для Адресной привязки DNS для работы должным образом должен быть отключен Proxy-arp. При использовании команду alias для Адресной привязки DNS, отключаете Proxy-arp с sysopt noproxyarp internal_interface команда после того, как будет выполняться команда alias.

Примечание: В то время как Перенаправление порта используется, вы не можете использовать Исправление DNS.

Схема сети

alias_01.gif

Если вы хотите, чтобы машина с IP-адресом 10.10.10.25 обратилась к этому Web-серверу своим доменным именем (www.mydomain.com), внедрите команду alias как показано в выходных данных ниже:

alias (inside) 10.10.10.10 99.99.99.99 255.255.255.255

!--- This command sets up DNS Doctoring. It is initiated from the clients in
!--- the "inside" network. It watches for DNS replies that contain
!--- 99.99.99.99. Then it replaces the 99.99.99.99 address with the 10.10.10.10
!--- address in the "DNS reply" sent to the client PC.

Затем, статическое преобразование должно быть создано для Web-сервера. Также необходимо предоставить доступ любого пользователя Интернета к Web-серверу на порту 80 (http):

static(inside,outside) 99.99.99.99 10.10.10.10 netmask 255.255.255.255

!--- This command creates a static translation between the web server 
!--- real address of 10.10.10.10 to the global IP address 99.99.99.99.

Для предоставления разрешений для доступа используйте команды списка доступа, как показано в выходных данных ниже.

access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside

!--- These commands permit any outside user to access the web server on port 80. 

Если вы предпочитаете более старый синтаксис, можно использовать команду conduit как показано в выходных данных ниже.

conduit permit tcp host 99.99.99.99 eq www any

!--- This command permits any outside user to access the web server on port 80.

Преобразуйте адрес DMZ с преобразованием сетевых адресов назначения

Если веб-сервер находится в сети DMZ PIX, то для выполнения NAT получателя должна использоваться команда alias. В данном примере Web-сервер на DMZ имеет IP-адрес 192.168.100.10, и внешний IP - адрес для этого Web-сервера 99.99.99.99. Используйте dnat для перевода IP-адреса 99.99.99.99 в 192.168.100.10 на фактическом вызове к серверу. Вызов DNS и ответ остаются неизменными. В данном примере DNS - ответом, замеченным ПК внутреннего клиента, являются внешние 99.99.99.99 IP-адресов, так как это не сфабрикованный DNS.

Схема сети

alias_02.gif

В данном примере намерение для машин в 10.10.10.0 / 24 сети для доступа к этому Web-серверу в DMZ его названием внешнего домена (www.mydomain.com). Вы не хотите, чтобы PIX сделал Исправление DNS ответов DNS. Вместо этого вы хотите PIX к dnat внешний (глобальный) IP-адрес Web-сервера к его "реальному" адресу DMZ (192.168.100.10).

Используйте команду alias для выполнения dnat:

alias(inside) 99.99.99.99 192.168.100.10 255.255.255.255

!--- This sets up the Destination NAT. In this example the DNS reply is not
!--- doctored by the PIX because the external address (99.99.99.99) does not
!--- match the foreign IP address in the alias command (the second IP).
!--- But the call is "dnat-ed" because the destination address
!--- in the call matches the dnat IP address in the alias command (the first IP).

Примечание: IP-адреса в команде alias в обратном порядке по сравнению с примером для Исправления DNS.

Затем, статическое преобразование должно быть создано для Web-сервера. Также необходимо предоставить доступ любого пользователя Интернета к Web-серверу на порту 80 (http):

static(dmz,outside) 99.99.99.99 192.168.100.10 netmask 255.255.255.255

!--- This command creates a static translation between the web server's
!--- real address 192.168.100.10 to the global IP address 99.99.99.99.

Для предоставления разрешений для доступа используйте команды списка доступа, как показано в выходных данных ниже.

access-list 101 permit tcp any host 99.99.99.99 eq www
access-group 101 in interface outside

!--- These commands permit any outside user to access the web server on port 80.

Если вы предпочитаете более старый синтаксис, можно использовать команду conduit как показано в выходных данных ниже.

conduit permit tcp host 99.99.99.99 eq www any

!--- This command permits any outside user to access the web server on port 80.

Примечания к другой конфигурации

  • Интерфейс в команде alias должен быть "интерфейсом", от которого звонят клиенты.

  • Если существуют также клиенты на DMZ, можно добавить другой псевдоним для интерфейса DMZ (этот - Исправление DNS).

    Например, предположите, что от предыдущего примера, что вы хотите, чтобы другие клиенты на DMZ использовали внешний DNS, но вызвали Web-сервер его адресом DMZ. Чтобы сделать это, создайте дополнительную команду alias, связанную к интерфейсу DMZ, чтобы доктору DNS пакеты ответа DNS.

    alias (dmz) 192.168.100.10 99.99.99.99 255.255.255.255
    
    !--- This command sets up DNS Doctoring. It is initiated from the clients in
    !--- the "dmz" network. It watches for DNS replies that contain
    !--- 99.99.99.99, then replaces the 99.99.99.99 address with the 192.168.100.10 
    !--- address in the "DNS reply" sent to the client PC.
    
    
  • Можно было связать множественные команды alias с другими интерфейсами на том же PIX.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 6353