Безопасность : Устройства защиты Cisco PIX серии 500

Настройка межсетевого экрана PIX с доступом к почтовому серверу по внутренней сети

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот пример конфигурации демонстрирует, как настроить PIX firewall для доступа к почтовому серверу, расположенному во внутренней сети.

Примечание: Проверка SMTP, настроенная в этом документе, не совместима с соединениями ESMTP с серверами, такими как Microsoft Exchange. Не настраивайте проверку SMTP при использовании почтового сервера, который полагается на ESMTP. Также Версия ПО PIX 7.0 и более поздний SMTP поддержек и проверка ESMTP.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Межсетевой экран PIX 10000

  • Релиз 5.1(4) программного обеспечения межсетевого экрана PIX

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Используйте инструмент Command Lookup (только для зарегистрированных пользователей) для того, чтобы получить более подробную информацию о командах, использованных в этом разделе.

Схема сети

В этом документе использованы параметры данной сети.

/image/gif/paws/8122/mailserver_in.gif

Конфигурации

Эти конфигурации используются в данном документе.

Сетевой экран PIX
PIX Version 5.1(4)

 !--- These commands name and set the security level for each PIX interface.

 nameif ethernet0 outside security0
 nameif ethernet1 inside security100
 enable password 8Ry2YjIyt7RRXU24 encrypted
 passwd 2KFQnbNIdI.2KYOU encrypted
 hostname PIX_1
 domain-name noplace.com
 fixup protocol ftp 21
 fixup protocol http 80
 fixup protocol h323 1720
 fixup protocol rsh 514
 fixup protocol smtp 25
 fixup protocol sqlnet 1521
 no names

 !--- Create an access list that permits SMTP traffic from anywhere
 !--- to the host at 209.164.3.5 (our server).  The name of this list is 
 !--- smtp. Add additional lines to this access list as required.
 !--- Note: There is one and only one access list allowed per
 !--- interface per direction (for example, inbound on the outside interface).
 !--- Because of limitation, any additional lines that need placement in
 !--- the access list need to be specified here.  If the server
 !--- in question is not SMTP, replace the occurrences of SMTP with
 !--- www, DNS, POP3, or whatever else is required. The access-list
 !--- command was introduced in PIX Software Release 5.0; it is used
 !--- here instead of a conduit statement.

 access-list smtp permit tcp any host 209.164.3.5 eq smtp
 pager lines 24
 logging on
 logging timestamp
 no logging standby
 logging console debugging
 logging monitor debugging
 logging buffered debugging
 logging trap debugging
 no logging history
 logging facility 23
 logging queue 512

 !--- Set each Ethernet interface to auto-detect its media type.

 interface ethernet0 auto
 interface ethernet1 auto
 mtu outside 1500
 mtu inside 1500

 !--- Define the IP address for each interface.

 ip address inside 192.168.1.1 255.255.255.0
 ip address outside 209.164.3.1 255.255.255.252
 no failover
 arp timeout 14400

 !--- Specify that any traffic that originates inside from the
 !--- 192.168.2.x network NATs (PAT) to 209.164.3.129 if
 !--- such traffic passes through the outside interface.

 global (outside) 1 209.164.3.129
 nat (inside) 1 192.168.2.0 255.255.255.0

 !--- Define a static translation between 192.168.2.57 on the inside and
 !--- 209.164.3.5 on the outside.  These are the addresses to be used by
 !--- the server located inside the firewall.

 static (inside,outside) 209.164.3.5 192.168.2.57 netmask 255.255.255.255

 !--- Apply the access list named smtp inbound on the outside interface.

 access-group smtp in interface outside

 !--- Set the default route to  209.164.3.2. 
 !--- The PIX assumes that this address is that of a router.

 route outside 0.0.0.0 0.0.0.0 209.164.3.2 1
 
 !--- Instruct the PIX to hand any traffic destined for 192.168.x.x
 !--- to the router at 192.168.1.2.

 route inside 192.168.0.0 255.255.0.0 192.168.1.2 1
 timeout xlate 1:30:00 conn 1:00:00 half-closed 0:10:00 udp 0:00:00
 timeout rpc 0:10:00 h323 0:05:00
 timeout uauth 0:00:00 absolute
 aaa-server TACACS+ protocol tacacs+
 aaa-server RADIUS protocol radius
 no snmp-server location
 no snmp-server contact
 snmp-server community public
 no snmp-server enable traps
 floodguard enable
 terminal width 200
 Cryptochecksum:d66eb04bc477f21ffbd5baa21ce0f85a
 : end
 
 !--- Alternate command:
 !--- conduit permit tcp host 209.164.3.5 eq smtp any
 !--- The conduit command is equivalent to 
 !--- the access-list statements this configuration shows.
 !--- In this case a path known as a conduit is created in order to allow any SMTP 
 !--- traffic to host 209.164.3.5.  Use of this command replaces the 
 !--- access-list and access-group 
 !--- statements that this configuration presents.

Маршрутизатор
Current configuration:
 !
 version 12.0
 service timestamps debug uptime
 service timestamps log uptime
 no service password-encryption
 !
 hostname 2522-R5
 !
 enable secret 5 $1$N0F3$XE2aJhJlCbLWYloDwNvcV.
 !
 ip subnet-zero
 !
 !
 !
 !
 !
 interface Ethernet0
 
 !--- Sets the IP address of the Ethernet interface to 209.164.3.2.

  ip address 209.164.3.2 255.255.255.252
 !
 interface Serial0

  !--- Instructs the serial interface to use 
  !--- the address of the Ethernet interface when the need arises.

  ip unnumbered ethernet 0 
 !
 interface Serial1
  no ip address
  no ip directed-broadcast
 !
 ip classless

 !--- Instructs the router to send all traffic 
 !--- destined for 209.164.3.x to 209.164.3.1.

 ip route 209.164.3.0 255.255.255.0 209.164.3.1

 !--- Instructs the router to send 
 !--- all other remote traffic out serial 0.

 ip route 0.0.0.0 0.0.0.0 serial 0
 !
 !
 line con 0
  transport input none
 line aux 0
  autoselect during-login
 line vty 0 4
  exec-timeout 5 0
  password ww
  login
 !
 end

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Команда logging console debugging направляет сообщения к консоли PIX. Если подключение к почтовому серверу является проблемой, исследуйте консольные сообщения отладки для определения местоположения IP-адресов посылающих и принимающих станций для определения проблемы.

Информация, которую необходимо собрать при обращении в службу технической поддержки

При тихой необходимости помощи после того, как вы завершаете действия по устранению проблем в этом документе и хотите открыть случай с технической поддержкой Cisco, несомненно будут включать эту информацию для устранения проблем Межсетевого экрана PIX.
  • Описание проблемы, которое включает топологию и подробные данные IP-адреса почтового сервера.
  • Завершите любое устранение проблем перед открытием случая.
  • Выходные данные команды show tech-support.
  • Выходные данные от команды show log после того, как это выполнится с командой отладки буферированной регистрации или снимками консоли, которые демонстрируют проблему (при наличии)
Присоедините собранные данные к запросу в простом текстовом формате (.txt), не архивируя файл. Вы можете вложить информацию в ваш случай загрузив ее инструментом запроса обслуживания TAC (только зарегистрированные клиенты). Если средство TAC Service Request Tool недоступно, данные можно отправить как вложение в электронное сообщение по адресу attach@cisco.com, указав в теме сообщения номер запроса.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 8122