- - PR -
PIXの設定について
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2007-04-02 06:22
最近、PIXの勉強を始めました。PIX-515E, PIX Software7.1(1)を使って実験をしているのですが、かなり初歩的な段階で躓いております。
下記のような設定をして、プライベート側にいるクライアントからインターネットウェブアクセスを許可しようと設定したのですが、どうやら、パケットキャプチャした結果DNS名前解決はできるのですが、httpの syn ack を受け取る段階で PIX がパケットをドロップしていようです。(syn ack は pix のところまで届いているようです。) 設定 ・スタティックNATを利用。 ・Inspectionによって内側から発生する主なトラフィックは許可。 ・ポリシーはデフォルトに http を追加してを利用。 ・アクセスリストは一切適用なし。 interface Ethernet0 nameif outside security-level 0 ip address xxx.xxx.xxx.204 255.255.255.224 ! interface Ethernet1 nameif inside security-level 100 ip address xxx.xxx.10.1 255.255.255.0 ! static (inside,outside) xxx.xxx.xxx.202 xxx.xxx.10.202 netmask 255.255.255.255 static (inside,outside) xxx.xxx.xxx.203 xxx.xxx.10.203 netmask 255.255.255.255 ! class-map inspection_default match default-inspection-traffic ! policy-map global_policy class inspection_default inspect dns maximum-length 512 : inspect http service-policy global_policy global 外部にいるDNSサーバと名前解決ができているのでNAT自体は問題ないと思っております。 sh service-policy を見た結果、dns, http の両方でpacketカウントはあがっており、dropカウントは一切あがっておりません。 試しにpermit ip any any の ACLを外側インターフェースに適用しましたが、全くヒットしませんでした…。 一体何が悪いのでしょうか? またダイナミックなトラフィック状況、NAT状況が見れる show,debug コマンドは存在しないのでしょうか? 色々と試しているのですが、CiscoIOSと全く違って役に立つコマンドが見つからず、困っております…。 |
|
投稿日時: 2007-07-15 02:20
PIX515-OSVer6.1(超古い。サポート切れ)運用中の知識ですが参考になれば。
inside発⇒outside向けの通信を限定する設定は inside側インタフェースにアクセスリストを適用する方法でやります。 # access-list <inside-reject> permit <ここに制限> #暗黙acl access-group inside <inside-reject> #後は内部から外部への通信をPATなりNATしてやればOKです nat (inside) 1 0 0 global (outside) <外部IPアドレス> スタティックの考え方は、 static (inside,outside) <外部側のIPアドレス> <内部側のIPアドレス> が一番イメージがつきやすいと思います。 >プライベート側にいるクライアントから >インターネットウェブアクセスを許可しよう ⇒Staticだと外部から内部のPCへの通信を許可してしまいセキュリティが落ちます。 >またダイナミックなトラフィック状況、 >NAT状況が見れる show,debug コマンドは存在しないのでしょうか? ⇒show xlateやshow connです。 古い本ですがPIX経験者は皆さん持っている本を、、 Cisco PIX Firewall実装ガイド (単行本) デイビッド・W.,Jr. チャプマン (編集), アンディ フォックス (編集), David W.,Jr. Chapman (原著), Andy Fox (原著), 糸川 洋 (翻訳), シスコシステムズ 以上 最新IOSのコマンドはCCOで調べてくださいな。 |
1