Drie-interface router zonder NAT Cisco IOS-firewallconfiguratie

Downloadopties

  • PDF     (220.1 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (100.4 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (102.3 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:20 februari 2007
Document-id:13893

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document biedt een voorbeeld van een typische configuratie voor een klein bedrijf dat is verbonden met internet en zijn eigen servers runt. De verbinding met het internet is via een serielijn. Ethernet 0 is aangesloten op het interne netwerk (één LAN). Ethernet 1 is verbonden met een DMZ-netwerk, dat één knooppunt heeft om services te leveren aan de buitenwereld. De ISP heeft het bedrijf de netwerkblokkering 192.168.27.0/24 toegewezen. Dit is gelijk verdeeld tussen de DMZ en het interne LAN met subnetmasker 255.255.255.128. Het basisbeleid is:

  • Laat gebruikers op het binnennetwerk met om het even welke dienst op het openbare internet verbinden.

  • Laat iedereen op het internet aan de diensten van WW, FTP, en Simple Mail Transfer Protocol (MTP) op de DMZ-server aansluiten en maak DNS-vragen (Domain Name System) ervan. Dit stelt mensen in staat om webpagina's van bedrijven te bekijken, bestanden op te halen die het bedrijf voor externe consumptie heeft geplaatst en post naar het bedrijf te sturen.

  • Laat binnengebruikers verbinding maken met de POP-service op de DMZ-server (hun e-mail ophalen) en met telnet (het beheren).

  • Laat niets op de DMZ om het even welke verbindingen, of aan het privé netwerk of aan Internet te openen.

  • Controleert alle verbindingen die de firewall op een SYSLOG server op het privé net oversteken. Machines in het binnennetwerk gebruiken de DNS-server op de DMZ. Invoertoegangslijsten worden op alle interfaces gebruikt om spoofing te voorkomen. De toegangslijsten van de uitvoer worden gebruikt om te controleren wat verkeer naar een bepaalde interface kan worden verzonden.

Raadpleeg Twee-interface-router zonder NAT te gebruiken en Cisco IOS-firewallconfiguratie te gebruiken om een twee interface-router te configureren zonder de Cisco IOS®-firewall te gebruiken.

Raadpleeg Twee-interface-router met NAT Cisco IOS-firewallconfiguratie om een twee interfacerouter met NAT te configureren met behulp van een Cisco IOS-firewall.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de software- en hardwareversies:

  • Cisco IOS-softwarerelease 12.2(15)T13 met functieset voor firewalls

  • Cisco 7204 VXR router

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

Conventies

Raadpleeg de Cisco Technical Tips Convention voor meer informatie over documentconventies.

Configureren

Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.

Opmerking: Gebruik het Opname Gereedschap (alleen geregistreerde klanten) om meer informatie te verkrijgen over de opdrachten die in deze sectie worden gebruikt.

Netwerkdiagram

Het netwerk in dit document is als volgt opgebouwd:

cbac3.gif

Configuraties

Dit document gebruikt deze configuratie.

7204 VXR router 
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
logging queue-limit 100
enable secret 5 <something>
!
ip subnet-zero
ip cef
no ip domain lookup
! 
ip inspect audit-trail 
! 

!--- Sets the length of time a TCP session !--- is still managed after no activity. 

! 
ip inspect tcp idle-time 14400 
! 

!--- Sets the length of time a UDP session !--- is still managed after no activity.
 
! 
ip inspect udp idle-time 1800 
! 

!--- Sets the length of time a DNS name lookup session !--- is still managed after no activity.
 
! 
ip inspect dns-timeout 7 
! 

!--- Sets up inspection list "standard" !--- to be used for inspection of inbound Ethernet 0 !--- and inbound serial (applied to both interfaces).
 
! 
ip inspect name standard cuseeme 
ip inspect name standard ftp 
ip inspect name standard h323 
ip inspect name standard http 
ip inspect name standard rcmd 
ip inspect name standard realaudio 
ip inspect name standard smtp 
ip inspect name standard sqlnet 
ip inspect name standard streamworks 
ip inspect name standard tcp 
ip inspect name standard tftp 
ip inspect name standard udp 
ip inspect name standard vdolive
ip audit notify log
ip audit po max-events 100
!
no voice hpi capture buffer
no voice hpi capture destination
!
mta receive maximum-recipients 0
!

 
interface ethernet 3/0 
ip address 192.168.27.129 255.255.255.128 
! 

!--- Apply the access list to allow all legitimate !--- traffic from the inside network and prevent spoofing. 

! 
ip access-group 101 in 
! 

!--- Apply inspection list "standard" for inspection !--- of inbound Ethernet traffic. This inspection opens !--- temporary entries on access lists 111 and 121. 

! 
ip inspect standard in
duplex full 

interface ethernet 3/1 
ip address 192.168.27.1 255.255.255.128 

! 

!--- Apply the access list to permit DMZ traffic (except spoofing) !--- on the DMZ interface inbound. The DMZ is not permitted to initiate !--- any outbound traffic except Internet Control Message Protocol (ICMP). 

! 
ip access-group 111 in 
! 

!--- Apply inspection list "standard" for inspection of outbound !--- traffic from e1. This adds temporary entries on access list 111 !--- to allow return traffic, and protects servers in DMZ from !--- distributed denial of service (DDoS) attacks.

ip inspect standard out
duplex full 
! 
interface serial 2/0 
ip address 10.89.129.194 255.255.255.252 

!--- Apply the access list to allow legitimate traffic. 

! 
ip access-group 121 in 
serial restart_delay 0
! 
ip classless
no ip http-server 


!--- A syslog server is located at this address. 

logging 192.168.27.131

!--- This command enables the logging of session !--- information (addresses and bytes). !--- Access list 20 is used to control which !--- network management stations can access via SNMP. 


! 
access-list 20 permit 192.168.27.5 
! 

!--- Use an access list to allow all legitimate traffic from !--- the inside network and prevent spoofing. The inside !--- network can only connect to the Telnet and POP3 !--- service of 192.168.27.3 on DMZ, and can ping (ICMP) to the DMZ. !--- Additional entries can be added to permit SMTP, WWW, and !--- so forth, if necessary. In addition, the inside network can !--- connect to any service on the Internet. 

! 
access-list 101 permit tcp 192.168.27.128 0.0.0.127 host 192.168.27.3 eq pop3 
access-list 101 permit tcp 192.168.27.128 0.0.0.127 host 192.168.27.3 eq telnet 
access-list 101 permit icmp 192.168.27.128 0.0.0.127 192.168.27.0 0.0.0.127  
access-list 101 deny ip 192.168.27.128 0.0.0.127 192.168.27.0 0.0.0.127 
access-list 101 permit ip 192.168.27.128 0.0.0.127 any 
access-list 101 deny ip any any 
! 
! 

!--- The access list permits ping (ICMP) from the DMZ and denies all !--- traffic initiated from the DMZ. Inspection opens !--- temporary entries to this list.
 
! 
access-list 111 permit icmp 192.168.27.0 0.0.0.127 any 
access-list 111 deny ip any any 
! 
! 
! 

!--- Access list 121 allows anyone on the Internet to connect to !--- WWW, FTP, DNS, and SMTP services on the DMZ host. It also !--- allows some ICMP traffic.
 
  
access-list 121 permit udp any host 192.168.27.3 eq domain 
access-list 121 permit tcp any host 192.168.27.3 eq domain 
access-list 121 permit tcp any host 192.168.27.3 eq www 
access-list 121 permit tcp any host 192.168.27.3 eq ftp 
access-list 121 permit tcp any host 192.168.27.3 eq smtp 
access-list 121 permit icmp any 192.168.27.0 0.0.0.255 administratively-prohibited 
access-list 121 permit icmp any 192.168.27.0 0.0.0.255 echo 
access-list 121 permit icmp any 192.168.27.0 0.0.0.255 echo-reply 
access-list 121 permit icmp any 192.168.27.0 0.0.0.255 packet-too-big 
access-list 121 permit icmp any 192.169.27.0 0.0.0.255 time-exceeded 
access-list 121 permit icmp any 192.168.27.0 0.0.0.255 traceroute 
access-list 121 permit icmp any 192.168.27.0 0.0.0.255 unreachable 
access-list 121 deny ip any any 

 ! 

!--- Apply access list 20 for SNMP process. 

! 
snmp-server community secret RO 20
snmp-server enable traps tty
!
call rsvp-sync
!
mgcp profile default
!
dial-peer cor custom
!
gatekeeper shutdown
!
 
line con 0 
   exec-timeout 5 0 
   password 7 14191D1815023F2036 
   login local 
 line vty 0 4 
   exec-timeout 5 0 
   password 7 14191D1815023F2036 
   login local 
   length 35 
end

Verifiëren

Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.

Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.

  • toon toegang-lijst - verifieert de juiste configuratie van de toegangslijsten die in de draaiende configuratie worden gevormd. 

    Router#show access-list
Standard IP access list 20
       10 permit 192.168.27.5
Extended IP access list 101
       10 permit tcp 192.168.27.128 0.0.0.127 host 192.168.27.3 eq pop3
       20 permit tcp 192.168.27.128 0.0.0.127 host 192.168.27.3 eq telnet
       30 permit icmp 192.168.27.128 0.0.0.127 192.168.27.0 0.0.0.127
       40 deny ip 192.168.27.128 0.0.0.127 192.168.27.0 0.0.0.127
       50 permit ip 192.168.27.128 0.0.0.127 any
       60 deny ip any any
Extended IP access list 111
       10 permit icmp 192.168.27.0 0.0.0.127 any
       20 deny ip any any (9 matches)
Extended IP access list 121
       10 permit udp any host 192.168.27.3 eq domain
       20 permit tcp any host 192.168.27.3 eq domain
       30 permit tcp any host 192.168.27.3 eq www
       40 permit tcp any host 192.168.27.3 eq ftp
       50 permit tcp any host 192.168.27.3 eq smtp
       60 permit icmp any 192.168.27.0 0.0.0.255 administratively-prohibited
       70 permit icmp any 192.168.27.0 0.0.0.255 echo
       80 permit icmp any 192.168.27.0 0.0.0.255 echo-reply
       90 permit icmp any 192.168.27.0 0.0.0.255 packet-too-big
       100 permit icmp any 192.169.27.0 0.0.0.255 time-exceeded
       110 permit icmp any 192.168.27.0 0.0.0.255 traceroute
       120 permit icmp any 192.168.27.0 0.0.0.255 unreachable
       130 deny ip any any (4866 matches)
Router#

  • Toon ip audit all-Verifieert de configuratie van de houtkapopdrachten. 

    Router#show ip audit all
Event notification through syslog is enabled
Event notification through Net Director is disabled
Default action(s) for info signatures is alarm
Default action(s) for attack signatures is alarm
Default threshold of recipients for spam signature is 250
PostOffice:HostID:0 OrgID:0 Msg dropped:0
          :Curr Event Buf Size:0 Configured:100
Post Office is not enabled - No connections are active

Router#

  • ip inspecteert alle-verificaties de configuratie van de Cisco IOS-firewallcontroleregels per interface. 

    Router#show ip inspect all
    Session audit trail is enabled
    Session alert is enabled
    one-minute (sampling period) thresholds are [400:500] connections
    max-incomplete sessions thresholds are [400:500]
    max-incomplete tcp connections per host is 50. Block-time 0 minute.
    tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
    tcp idle-time is 14400 sec -- udp idle-time is 1800 sec
    dns-timeout is 7 sec
    Inspection Rule Configuration
     Inspection name standard
       cuseeme alert is on audit-trail is on timeout 14400
       ftp alert is on audit-trail is on timeout 14400
       h323 alert is on audit-trail is on timeout 14400
       http alert is on audit-trail is on timeout 14400
       rcmd alert is on audit-trail is on timeout 14400
       realaudio alert is on audit-trail is on timeout 14400
       smtp alert is on audit-trail is on timeout 14400
       sqlnet alert is on audit-trail is on timeout 14400
       streamworks alert is on audit-trail is on timeout 1800
       tcp alert is on audit-trail is on timeout 14400
       tftp alert is on audit-trail is on timeout 1800
       udp alert is on audit-trail is on timeout 1800
       vdolive alert is on audit-trail is on timeout 14400       
Interface Configuration
     Interface Ethernet3/0
       Inbound inspection rule is standard
         cuseeme alert is on audit-trail is on timeout 14400
         ftp alert is on audit-trail is on timeout 14400
         h323 alert is on audit-trail is on timeout 14400
         http alert is on audit-trail is on timeout 14400
         rcmd alert is on audit-trail is on timeout 14400
         realaudio alert is on audit-trail is on timeout 14400
         smtp alert is on audit-trail is on timeout 14400
         sqlnet alert is on audit-trail is on timeout 14400
         streamworks alert is on audit-trail is on timeout 1800
         tcp alert is on audit-trail is on timeout 14400
         tftp alert is on audit-trail is on timeout 1800
         udp alert is on audit-trail is on timeout 1800
         vdolive alert is on audit-trail is on timeout 14400
       Outgoing inspection rule is not set
       Inbound access list is 101
       Outgoing access list is not set
     Interface Ethernet3/1
       Inbound inspection rule is not set
       Outgoing inspection rule is standard
         cuseeme alert is on audit-trail is on timeout 14400
         ftp alert is on audit-trail is on timeout 14400
         h323 alert is on audit-trail is on timeout 14400
         http alert is on audit-trail is on timeout 14400
         rcmd alert is on audit-trail is on timeout 14400
         realaudio alert is on audit-trail is on timeout 14400
         smtp alert is on audit-trail is on timeout 14400
         sqlnet alert is on audit-trail is on timeout 14400
         streamworks alert is on audit-trail is on timeout 1800
         tcp alert is on audit-trail is on timeout 14400
         tftp alert is on audit-trail is on timeout 1800
         udp alert is on audit-trail is on timeout 1800
         vdolive alert is on audit-trail is on timeout 14400
       Inbound access list is 111
       Outgoing access list is not set
Router#

Problemen oplossen

Nadat u de IOS Firewall router vormt, als de verbindingen niet werken, zorg er dan voor dat u inspectie met de ip inspectie (naam gedefinieerd) in of uit opdracht op de interface hebt ingeschakeld. In deze configuratie wordt ip-inspectiestandaard in toegepast op de interface Ethernet 3/0 en ip-inspectie-standaard out wordt toegepast op de interface Ethernet 3/1.

Raadpleeg Cisco IOS-firewallconfiguraties voor probleemoplossing voor meer informatie over probleemoplossing.

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
20-Feb-2007
Eerste vrijgave

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten