- PR -

PIXの設定について

1
投稿者投稿内容
Grandadbob
会議室デビュー日: 2006/11/16
投稿数: 4
投稿日時: 2007-04-02 06:22
最近、PIXの勉強を始めました。PIX-515E, PIX Software7.1(1)を使って実験をしているのですが、かなり初歩的な段階で躓いております。

下記のような設定をして、プライベート側にいるクライアントからインターネットウェブアクセスを許可しようと設定したのですが、どうやら、パケットキャプチャした結果DNS名前解決はできるのですが、httpの syn ack を受け取る段階で PIX がパケットをドロップしていようです。(syn ack は pix のところまで届いているようです。)

設定
・スタティックNATを利用。
・Inspectionによって内側から発生する主なトラフィックは許可。
・ポリシーはデフォルトに http を追加してを利用。
・アクセスリストは一切適用なし。

interface Ethernet0
nameif outside
security-level 0
ip address xxx.xxx.xxx.204 255.255.255.224
!
interface Ethernet1
nameif inside
security-level 100
ip address xxx.xxx.10.1 255.255.255.0
!
static (inside,outside) xxx.xxx.xxx.202 xxx.xxx.10.202 netmask 255.255.255.255
static (inside,outside) xxx.xxx.xxx.203 xxx.xxx.10.203 netmask 255.255.255.255
!
class-map inspection_default
match default-inspection-traffic
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512

inspect http
service-policy global_policy global

外部にいるDNSサーバと名前解決ができているのでNAT自体は問題ないと思っております。

sh service-policy を見た結果、dns, http の両方でpacketカウントはあがっており、dropカウントは一切あがっておりません。

試しにpermit ip any any の ACLを外側インターフェースに適用しましたが、全くヒットしませんでした…。

一体何が悪いのでしょうか?

またダイナミックなトラフィック状況、NAT状況が見れる show,debug コマンドは存在しないのでしょうか?
色々と試しているのですが、CiscoIOSと全く違って役に立つコマンドが見つからず、困っております…。
未記入
会議室デビュー日: 2007/07/15
投稿数: 1
投稿日時: 2007-07-15 02:20
PIX515-OSVer6.1(超古い。サポート切れ)運用中の知識ですが参考になれば。

inside発⇒outside向けの通信を限定する設定は
inside側インタフェースにアクセスリストを適用する方法でやります。
#
access-list <inside-reject> permit <ここに制限>
#暗黙acl
access-group inside <inside-reject>
#後は内部から外部への通信をPATなりNATしてやればOKです
nat (inside) 1 0 0
global (outside) <外部IPアドレス>

スタティックの考え方は、
static (inside,outside) <外部側のIPアドレス> <内部側のIPアドレス>
が一番イメージがつきやすいと思います。
>プライベート側にいるクライアントから
>インターネットウェブアクセスを許可しよう
⇒Staticだと外部から内部のPCへの通信を許可してしまいセキュリティが落ちます。

>またダイナミックなトラフィック状況、
>NAT状況が見れる show,debug コマンドは存在しないのでしょうか?
⇒show xlateやshow connです。

古い本ですがPIX経験者は皆さん持っている本を、、
Cisco PIX Firewall実装ガイド (単行本)
デイビッド・W.,Jr. チャプマン (編集), アンディ フォックス (編集), David W.,Jr. Chapman (原著), Andy Fox (原著), 糸川 洋 (翻訳), シスコシステムズ

以上 最新IOSのコマンドはCCOで調べてくださいな。
1

スキルアップ/キャリアアップ(JOB@IT)