pixfirewall# sh run : Saved : PIX Version 6.3(3) interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list acl_out permit tcp any host 192.168.0.10 eq www access-list acl_out permit tcp any host 192.168.0.10 eq ssh pager lines 24 logging on logging buffered debugging mtu outside 1500 mtu inside 1500 ip address outside 192.168.0.254 255.255.255.0 ip address inside 192.168.100.254 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) 192.168.0.10 192.168.100.1 netmask 255.255.255.255 0 0 access-group acl_out in interface outside route outside 0.0.0.0 0.0.0.0 192.168.0.30 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable telnet timeout 5 ssh timeout 5

console timeout 0 terminal width 80 Cryptochecksum:57069a960b1a335a81eac59a783b5ff6 : end pixfirewall# #################################################### ##### Esempio di esercizio ##### ####################################################

LAN AZIENDALE

INTERNET192.168.0.254

FIREWALL PIX

192.168.100.254

192.168.100.1

Innanzitutto analizziamo ancora una volta la configurazione sopra riportata, che fa riferimento alla situazione vista in aula. interface ethernet0 auto interface ethernet1 100full comandi per abilitare le 2 interface, la eth0 (outside) è in auto, la eth1 (inside) è full duplex a 100Mb; di default sono in shutdown ip address outside 192.168.0.254 255.255.255.0 ip address inside 192.168.100.254 255.255.255.0 si assegnano i 2 indirizzi alle interface ethernet route outside 0.0.0.0 0.0.0.0 192.168.0.30 1 si assegna la rotta di default (def gateway), normalmente è il router collegato ad Internet DOMANDA 1Quali comandi sono necessari per abilitare la navigazione internet della rete interna? 2 comandi : il primo nat (inside) 1 0.0.0.0 0.0.0.0 0 0 dice che tutti gli host (0.0.0.0 0.0.0.0) che si presentano sulla interfaccia ethernet 1 (inside) devono essere “nattati”

il secondo global (outside) 1 interface dice che devono essere nattati assegnando ai pacchetti che poi usciranno tramite l’interfaccia eth0 (outside) l’indirizzo assegnato all’interfaccia eth0 stessa, nel nostro caso 192.168.0.254 DOMANDA 1 BISPoniamo che il pix abbia una terza interfaccia, DMZ, con IP 10.0.0.254/24 Quali comandi dare affinché gli hosts della rete interna vengano nattati con ip 10.0.0.254/24 quando escono sulla DMZ? Il comando è global (DMZ) 1 interface Per un esempio completo si veda http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_chapter09186a0080172786.html#wp1131114 Per la sintassi e la spiegazione del NAT si veda http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_chapter09186a0080172786.html#wp1112345 entrambi i link si riferiscono a documenti già segnalati DOMANDA 2 Si chiede di mappare staticamente il server interno con un indirizzo raggiungibile da Internet per poter accedere ad alcuni servizi presenti su questo (NB: nel caso in esame visto in aula gli indirizzi sono in realtà privati e non pubblici, né tantomeno visibili in Internet!!!) Mappiamo il server con un indirizzo “pubblico” (vedi sopra) 192.168.0.10 static (inside,outside) 192.168.0.10 192.168.100.1 netmask 255.255.255.255 0 0 DOMANDA 2 BIS Abilitato il NAT statico, si crei una access list affinché sul server sia raggiungibile da ogni indirizzo i servizi ssh e http access-list acl_out permit tcp any host 192.168.0.10 eq www access-list acl_out permit tcp any host 192.168.0.10 eq ssh a questo punto si tratta di applicare la access-list alla interfaccia outside access-group acl_out in interface outside #################################################### DI SEGUITO VENGONO RIPORTATE LE SINTASSI DEI COMANDI VISTI COSI’ COME VENGONO VISUALIZZATI DAL PIX pixfirewall(config)# nat Not enough arguments. Usage: [no] nat [(<real_ifc>)] <nat-id> {<real_ip> [<mask>]} | {access-list <acl_name>} [dns] [norandomseq] [outside] [<max_conn> [<emb_limit>]] pixfirewall(config)# global Not enough arguments. Usage: [no] global [(<ext_if_name>)] <nat_id> {<global_ip>[-<global_ip>] [netmask <global_mask>]} | interface

pixfirewall(config)# access-list Not enough arguments. Usage: [no] access-list compiled [no] access-list deny-flow-max <n> [no] access-list alert-interval <secs> [no] access-list <id> compiled [no] access-list <id> [line <line-num>] remark <text> [no] access-list <id> [line <line-num>] deny|permit <protocol>|object-group <protocol_obj_grp_id> <sip> <smask> | interface <if_name> | object-group <network_obj_grp_id> [<operator> <port> [<port>] | object-group <service_obj_grp_id>] <dip> <dmask> | interface <if_name> | object-group <network_obj_grp_id> [<operator> <port> [<port>] | object-group <service_obj_grp_id>] [log [disable|default] | [<level>] [interval <secs>]] [no] access-list <id> [line <line-num>] deny|permit icmp <sip> <smask> | interface <if_name> | object-group <network_obj_grp_id> <dip> <dmask> | interface <if_name> | object-group <network_obj_grp_id> [<icmp_type> | object-group <icmp_type_obj_grp_id>] [log [disable|default] | [<level>] [interval <secs>]] pixfirewall(config)# access-group Not enough arguments. Usage: [no] access-group <access-list> in interface <if_name> [per-user-override] pixfirewall(config)# static Not enough arguments. Usage: [no] static [(real_ifc, mapped_ifc)] {<mapped_ip>|interface} {<real_ip> [netmask <mask>]} | {access-list <acl_name>} [dns] [norandomseq] [<max_conns> [<emb_lim>]] [no] static [(real_ifc, mapped_ifc)] {tcp|udp} {<mapped_ip>|interface} <mapped_port> {<real_ip> <real_port> [netmask <mask>]} | {access-list <acl_name>} [dns] [norandomseq] [<max_conns> [<emb_lim>]]