Ключевые слова:cisco, pix, config, firewall, security, (найти похожие документы)
From: Alexander HunSolo <a.hunsolo@gmail.com.>
Newsgroups: http://www.ciscolab.ru/
Date: Mon, 5 Dec 2006 14:31:37 +0000 (UTC)
Subject: Основы конфигурирования Cisco PIX с доступом в Интернет
Оригинал: http://www.ciscolab.ru/2006/12/05/base_pix_config.html
Этот документ описывает наипростейшую конфигурацию, которая
демонстрирует как установить Cisco Secure PIX Firewall для
использования, как устройство доступа в интернет. Он включает утановку
уровней безопасностей на интерфейсы, назначение IPадресов,
конфигурацию динамической трансляции адресоного пространствавнутренней
сети (inside) во внешнюю сеть (outside). Эта задача использует сетевую
диаграмму показанную ниже.
В этом сетевом сценарии используются PIX для обеспечения доступа
внутренней сети во внешнюю и Router для связи непосредственно с
Интернет. Router может являться частью оборудования провайдера (ISP).
Версия PIXOS 6.3
Конфигурация PIX
PIX Version 6.3(5)
!-- Уровни безопасности на интерфейсах. Уровень 100 - наивысший.
!-- Как правило интерфейс с нивысшим уровнем подключается к внутренней сети.
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8fgnjhdIyt7RRXU24 encrypted
passwd 2KFQdfvdfvdfvI.2KYOU encrypted
hostname pixfirewall
!-- Инспекция трафика по основным протоколам
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
!--- Назначаем адреса на интерфейсы
ip address outside 209.165.200.226 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0
! -- Трансляция внутренних адресов хостов во внешние (NAT)
global (outside) 1 209.165.200.227-209.165.200.254 netmask 255.255.255.224
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
!-- Устанавливаем маршрут по умолчанию на Router
route outside 0.0.0.0 0.0.0.0 209.165.200.225 1
Конфигурация Router
hostname R3640_out
username cisco password 0 cisco
! -- Назначаем адрес на интерфейс
interface Ethernet0/1
ip address 209.165.200.225 255.255.255.224
no ip directed-broadcast
!
ip classless
no ip http server
!
line con 0
exec-timeout 0 0
length 0
transport input none
line aux 0
line vty 0 4
!
end