Post on 12-Oct-2020
Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia
Consorzio per la Formazione e la Ricerca in Ingegneria dell’InfoConsorzio per la Formazione e la Ricerca in Ingegneria dell’Informazione rmazione –– Politecnico di MilanoPolitecnico di Milano
I I SistemiSistemi FirewallFirewall
CEFRIELCEFRIELPolitecnicoPolitecnico didi MilanoMilano
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 22 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaI sistemi FirewallI sistemi Firewall
I sistemi firewall sono utilizzati per proteggere le reti da eventuali attacchiSe solo un server fosse mal configurato, potrebbe rappresentare un punto debole da attaccare facilmente per entrare all’interno della rete
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 33 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaI firewall e le policyI firewall e le policy
Il sistema firewall lavora a stretto contatto con la creazione di una policy, che deve essere definita:
bisogna avere ben chiaro che cosa il firewall può filtrare o può lasciar passare
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 44 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaTipologie di filtraggioTipologie di filtraggio
IP-firewall: controllo a livello 3 NetworkTutte le informazioni nel pacchetto verranno utilizzate per l’analisi
Transport level firewall: utilizziamo il protocolllo TCPApplication level firewall: lavoriamo a livello di singola applicazione
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 55 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaProgettazione di una reteProgettazione di una rete
In fase di progettazione di una rete da “coprire”, è opportuno suddividere essa in almeno 3 zone:
Rete InternaRete EsternaDMZ (Demilitarized Zone)
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 66 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaLe interfacce e i livelli di sicurezza Le interfacce e i livelli di sicurezza
(1)(1)
Ogni interfaccia ha un proprio livello di sicurezzaL’accesso alla rete interna è quello che maggiormente sarà sottoposto a verificheSi suppone che nella rete interna ci siano risorse “assolutamente” private
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 77 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaLe interfacce e i livelli di sicurezza Le interfacce e i livelli di sicurezza
(2)(2)
Nella zona DMZ, verranno posti i server “delicati”, cioè quelli che registrano molte connessioni giornaliere provenienti dall’esterno della reteRicordiamo che l’accesso da un interfaccia sicura , ad una meno sicura è sempre permesso, il contrario noInside ---------- DMZ OKDMZ ---------- Inside NOOutside--------- Inside NOInside ---------- Outside OK
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 88 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaBypass dei livelli di sicurezzaBypass dei livelli di sicurezza
Di default un firewall BLOCCA tutte le connessioni che dall’interfaccia outside entrano nell’ inside (da una meno sicura ad una più sicura)Bisogna esplicitare l’accesso attraverso le righe di un access-list
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 99 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaFirewall e routingFirewall e routing
Il firewall non fa routingNon è in grado di gestire i protocolli di routingBisogna dichiarare delle rotte statiche
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 1010 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaMetodi di ispezione del pacchettoMetodi di ispezione del pacchetto
Quando su un router si crea un access-list bisogna fare attenzione sia al percorso del percorso di andata sia a quello di ritornoIl firewall invece, nel momento in cui si vede attraversare dal pacchetto che dall’host A si dirige verso l’host B, si comporta in questo modo:
Ricordiamo che il firewall blocca tutto di defaultSupponiamo che abbia esplicitato una riga di ACL sul firewall per permettere il traffico da A a BIl firewall tiene memoria della connessione di “andata” e apre un buco temporaneo per il pacchetto di ritorno
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 1111 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaASA (adaptive security algorithm)ASA (adaptive security algorithm)
Tale operazione è meglio conosciuta come “ASA” e permette al firewall di analizzare molto più dettagliatamente di un ACL di un router l’informazione che transita attraverso esso
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 1212 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaRotta di default e statiche (1)Rotta di default e statiche (1)
Abbiamo detto che il firewall NON è capace di fare routingE’ necessario stabilire delle rotte statiche per indirizzare i pacchettiNel caso in cui si voglia creare una rotta di default, digito i seguenti comandi:
route outside 0.0.0.0 0.0.0.0 192.150.50.1 1
In questo modo comunico che il “mio” default-gateway è la macchina 192.150.50.1 che “dista” 1 “hop” da me
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 1313 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaRotta di default e statiche (2)Rotta di default e statiche (2)
La rotta appena creata, come si poteva notare dalla parola “outside”, è valida per i pacchetti che transitano in uscita dall’interfaccia “outside”Si esegue l’operazione in maniera identica per settare una rotta per il traffico in uscita dalla “inside”
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 1414 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaPIX e abbreviazioni da riga di PIX e abbreviazioni da riga di
comandocomando
Il PIX NON offre il tasto TAB per autocompletare i comandi inseritiRiesce però a gestire le abbreviazioniSi tratta quindi di un autocompletamento “Interno”, che NON viene mostrato a video
Posso scrivere “Firewall#write mem” !!!Comportamento identico nel router
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 1515 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaLogica di programmazioneLogica di programmazione
Anche nel firewall PIX, come per il router e lo switch, esiste la stessa logica di comandi e la stessa logica di divisione in “livelli” di programmazioneA seconda del livello in cui ci troviamo, abbiamo determinati dirittiTuttavia il comando “show config”,e molti comandi di “show”,si possono digitare da qualsiasi menù
Firewall(config)#show config OK!!!!!
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 1616 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaSpecifiche dei livelli di Specifiche dei livelli di
programmazioneprogrammazione
Come per il router, il primo livello di programmazione prende il nome di
User modePrivilege mode
– Global Configuration Mode» Ecc...
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 1717 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaPassword di enablePassword di enable
Quindi è consigliabile gestire da password il passaggio da “User mode” al “Privilege mode”, attraverso la password di enable:
pixfirewall> enablePassword:pixfirewall# enable password ciscopixfirewall# write terminalBuilding configuration......enable password 2oifudsaoid.9ff encrypted...
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 1818 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaEsempio di configurazioneEsempio di configurazione
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 1919 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaEsempio di configurazioneEsempio di configurazione
PIX Version 5.1(2)nameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 intf2 security10enable password 8Ry2YjIyt7RRXU24 encryptedpasswd 2KFQnbNIdI.2KYOU encryptedhostname pixfirewallfixup protocol ftp 21fixup protocol http 80fixup protocol h323 1720fixup protocol rsh 514fixup protocol smtp 25fixup protocol sqlnet 1521
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 2020 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaEsempio di configurazioneEsempio di configurazione
namespager lines 24logging onno logging timestampno logging standbyno logging consoleno logging monitorlogging buffered debuggingno logging trapno logging historylogging facility 20logging queue 512..........
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 2121 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaEsempio di configurazioneEsempio di configurazione
..........interface ethernet0 autointerface ethernet1 autointerface ethernet2 100fullmtu outside 1500mtu inside 1500mtu intf2 1500ip address outside 209.165.200.226
255.255.255.224ip address inside 10.1.1.1 255.255.255.0ip address intf2 127.0.0.1 255.255.255.255.........
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 2222 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaEsempio di configurazioneEsempio di configurazione
............global (outside) 1 209.165.200.227-
209.165.200.254 netmask 255.255.255.224nat (inside) 1 0.0.0.0 0.0.0.0 0 0route outside 0.0.0.0 0.0.0.0 209.165.200.225 1............
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 2323 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaLe specifiche dei livelli di sicurezza Le specifiche dei livelli di sicurezza
(1)(1)
Riprendiamo questa riga di configurazione:PIX Version 5.1(2)nameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 intf2 security10
Vediamo che sono stati assegnati degli identificativi di sicurezza alle singole interfaccePiù il numero è alto (security 100), più l’interfaccia deve essere protetta
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 2424 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaLe specifiche dei livelli di sicurezza Le specifiche dei livelli di sicurezza
(2)(2)
Ricordiamo che:Inside ---------- DMZ OKDMZ ---------- Inside NOOutside--------- Inside NOInside ---------- Outside OKDMZ ----------- Outside OKOutside--------- DMZ NO
L’interfaccia DMZ, per noi potrebbe tranquillamente essere quella chiamata “Intf2”, che ha un livello di sicurezza intermedio
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 2525 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaPermettere accesso ad un server Permettere accesso ad un server
interno (1)interno (1)
Server interno
FireWall
Rete interna
Internet
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 2626 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaPermettere accesso ad un server Permettere accesso ad un server
interno (2)interno (2)
Come avremmo ragionato se avessimo avuto un router come filtro della connessione?Avremmo aggiunto una riga di access-list opportuna nella configurazione di esso
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 2727 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaIl comando “static” (1)Il comando “static” (1)
Nel firewall bisogna effettuare un operazione preliminare:
LA MAPPATURA STATICA DELL’INDIRIZZO DA PROTEGGERE
Ricordiamo che il firewall NON fa routingAl massimo abbiamo configurato delle rotte statiche
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 2828 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaIl comando “static” (2)Il comando “static” (2)
Il comando static prevede la seguente sintassi:static (inside, outside) 175.1.1.254 10.200.1.254
In questo caso, per connessioni che provengono dall’interfaccia outside, verso la inside, la mappatura dell’host da contattare è la seguente:
La macchina all’esterno viene vista con l’indirizzo ip 171.1.1.254, mentre realmente nella rete ha l’indirizzo 10.200.1.254
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 2929 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaL’accessL’access--listlist
Ora abbiamo bisogno di inserire una riga di access-list per permettere questo tipo di traffico
Access-list outside_in permit TCP any 171.1.1.254 255.255.255.0access-group outside_in in interface outside
Notiamo che a differenza del router, dopo l’indirizzo ip, sia esso sorgente o destinazione, c’è la Subnet Mask e NON la Wildcard
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 3030 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaFirewall e ACLFirewall e ACL
Il firewall nasce come strumento per proteggere la rete da intrusioni indesiderateE’ uno strumento hardware che riesce ad arrivare a filtrare i dati fino al livello applicazioneAbbiamo visto che il router, con le ACL estese, può raggiungere al massimo il livello 4 di trasporto
Access-list 101 permit TCP any any eq 23
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 3131 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaFirewall Vs. Router: logica di Firewall Vs. Router: logica di
filtraggiofiltraggio
Il router, NON nasce per filtrare ma per RUOTARE i pacchettiLe ACL tuttavia sono un ottimo strumento di protezione della propria reteIl router, di default, PERMETTE tutto il traffico di rete, a meno che non si specifichi una riga di ACLIl firewall ragione in termini completamente opposti
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 3232 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaConcetto di Access List nel firewallConcetto di Access List nel firewall
Anche nel firewall è utilizzato il concetto di ACL, ma senza la distinzione tra estese e standard
access-list 90 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0SONO TUTTE ESTESE!
Anche nel firewall l’ ACL deve essere applicata ad un interfaccia in ingresso o in uscita
access-group 101 in interface outside
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 3333 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaNAT e PATNAT e PAT
Il concetto di NAT (Network Address Translation) è fondamentale in una pianificazione della politica di sicurezza di un enteIl NAT permette di avere una “traduzione” del mio indirizzo ip reale (solitamente un privato) in uno ruotabile su internet
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 3434 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaPrincipio di funzionamento del NATPrincipio di funzionamento del NAT
Solitamente, una delle possibili configurazioni del firewall pix è dettata dal fatto che l’indirizzo raggiungibile dall’esterno di una rete, sia esclusivamente quello dell’interfaccia esterna del pix
Server interno
FireWall
Rete interna10.0.0.0 /24
Internet131.175.53.50
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 3535 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaNAT: esempio praticoNAT: esempio pratico
Per fare questo, digitare i seguenti comandi:nat (inside) 1 0.0.0.0 0.0.0.0 0 0
In questo modo stabiliamo sul pix che TUTTI i pacchetti che provengono dall’interfaccia “inside”, subiranno un processo di NATTING a cui diamo l’etichetta “1”
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 3636 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaConfigurazione del NAT: il comando Configurazione del NAT: il comando
“global”“global”
Ma il comando che configura il NAT non bastaBisogna comunicare al firewall che in uscita, il pacchetto che proveniva dall’interfaccia “Inside”, e si dirige verso un’altra interfaccia, deve essere “mutato” in un nuovo IP
global (outside) 1 209.165.200.227-209.165.200.254 netmask 255.255.255.224
In questo caso gestiamo i pacchetti destinati all’interfaccia “outside”NOTIAMO lo stesso ID (nel nostro caso “1”)sia per il comando NAT che per il comando GLOBAL
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 3737 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaDisabilitare il NAT di un firewallDisabilitare il NAT di un firewall
Per disabilitare il NAT di un firewall, digitare il seguente comando
nat (inside) 0 access-list 101
L’elemento che elimina il nat è l’identificativo “0” della rigaIn questo modo disabilito il NAT per le macchine che soddisfano almeno una riga dell’access-list di riferimentoNOTIAMO che NON è necessario il comando GLOBAL
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 3838 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaCoesistenza di NAT “0” e NAT “1”Coesistenza di NAT “0” e NAT “1”
Possiamo far coesistere le due cose:access-list 101 permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0 global (outside) 1 199.199.199.3-199.199.199.62 netmask 255.255.255.192 nat (inside) 0 access-list 101 nat (inside) 1 10.0.0.0 255.0.0.0 0 0
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 3939 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaAssegnazione indirizzo ip alle Assegnazione indirizzo ip alle
interfacceinterfacce
ip address outside 192.150.50.3 255.255.255.0ip address inside 172.31.2.100 255.0.0.0
CEFRIEL CEFRIEL -- Politecnico di MilanoPolitecnico di Milano Progetto Scuola Progetto Scuola -- U.S.R. LombardiaU.S.R. Lombardia-- 4040 --
Prog
etto
Pr
oget
to S
cuol
a Sc
uola
––U
.S.R
. Lom
bard
iaU
.S.R
. Lom
bard
iaThe EndThe End
...buon lavoro!