Giáo trình Advanced Certificate in Information Technology - Sanlein part 62 pdf
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (72.24 KB, 4 trang )
.
· Interface command :
interface hardware_id hardware_speed [shutdown]
- hardware_id : chỉ ra interface và vị trí vật lí của nó
trên pix .
- hardware_speed : chỉ ra tốc độ kết nối . Sử dụng auto
để pix tự động điều chỉnh tốc độ với thiết bị mà nó kết
nối .
Kiểm tra cấu hình bằng các lệnh show :
Pix# sh static
static (dmz,outside) 209.162.1.10 172.16.1.2 netmask
255.255.255.255 0 0
static (inside,outside) 209.162.1.9 10.10.10.10 netmask
255.255.255.255 0 0
static (inside,dmz) 172.16.1.5 10.10.10.10 netmask
255.255.255.255 0 0
Pix# sh nat
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
Pix# sh global
global (outside) 1 209.162.1.30
Pix(config)# sh route
outside 0.0.0.0 0.0.0.0 209.162.1.2 1 OTHER static
inside 10.10.10.0 255.255.255.0 10.10.10.1 1 CONNECT
static
dmz 172.16.1.0 255.255.255.0 172.16.1.1 1 CONNECT
static
outside 209.162.1.0 255.255.255.0 209.162.1.1 1 CONNECT
static
ðMặc định trong bảng định tuyến của pix có các route là connect
static . Các route được cấu hình sẽ có prompt là other static
Để các host giữa các mạng có thể ping thấy nhau , ta phải dùng
conduit command để thực hiện điều này :
Pix(config)# conduit permit icmp any any
Pix(config)# conduit permit tcp host 209.162.1.10 eq www any
Pix(config)# conduit permit tcp host 209.162.1.9 eq www any
Pix(config)# conduit permit tcp host 209.162.1.9 eq telnet any
ð Tạo conduit để cho phép tất cả các host ở mạng outside (any)
có thể truy cập web vào web server ở dmz và inside , có thể
telnet vào mạng inside .
Kiểm tra cấu hình conduit :
Pix# sh conduit
conduit permit tcp host 209.162.1.10 eq www any (hitcnt=0)
conduit permit tcp host 209.162.1.9 eq www any (hitcnt=0)
conduit permit tcp host 209.162.1.9 eq telnet any (hitcnt=1)
conduit permit icmp any any (hitcnt=42)
Pix(config)# ping 192.168.1.1
192.168.1.1 response received 0ms
192.168.1.1 response received 0ms
192.168.1.1 response received 0ms
Tại command-prompt của PC , thực hiện ping :
C:\> ping 209.162.1.2
Ping 209.162.1.2 with 32 bytes of data :
Reply from 209.162.1.2 : bytes = 32 time<10ms TTL = 128
Reply from 209.162.1.2 : bytes = 32 time<10ms TTL = 128
Reply from 209.162.1.2 : bytes = 32 time<10ms TTL = 128
Reply from 209.162.1.2 : bytes = 32 time<10ms TTL = 128
Bật debug lên để quan sát :
Pix(config)#debug icmp trace
39: Outbound ICMP echo request (len 32 id 3 seq 12800)
10.10.10.10 > 209.162.1.9 > 209.162.1.2
40: Inbound ICMP echo reply (len 32 id 3 seq 12800)
209.162.1.2 > 209.162.1.9 > 10.10.10.10
41: Outbound ICMP echo request (len 32 id 3 seq 13056)
10.10.10.10 > 209.162.1.9 > 209.162.1.2
42: Inbound ICMP echo reply (len 32 id 3 seq 13056)
209.162.1.2 > 209.162.1.9 > 10.10.10.10
C:\> ping 172.16.1.2
Ping 172.16.1.2 with 32 bytes of data :
Reply from 172.16.1.2 : bytes = 32 time<10ms TTL = 128
Reply from 172.16.1.2 : bytes = 32 time<10ms TTL = 128
Reply from 172.16.1.2 : bytes = 32 time<10ms TTL = 128
Reply from 172.16.1.2 : bytes = 32 time<10ms TTL = 128
Pix# 43: Outbound ICMP echo request (len 32 id 3 seq 13312)
10.10.10.10 > 172.16.1.5 > 172.16.1.2
44: Inbound ICMP echo reply (len 32 id 3 seq 13312)
172.16.1.2 > 172.16.1.5 > 10.10.10.10
45: Outbound ICMP echo request (len 32 id 3 seq 13568)
10.10.10.10 > 172.16.1.5 > 172.16.1.2
46: Inbound ICMP echo reply (len 32 id 3 seq 13568)
172.16.1.2 > 172.16.1.5 > 10.10.10.10
47: Outbound ICMP echo request (len 32 id 3 seq 13824)
10.10.10.10 > 172.16.1.5 > 172.16.1.2
48: Inbound ICMP echo reply (len 32 id 3 seq 13824)
172.16.1.2 > 172.16.1.5 > 10.10.10.10
49: Outbound ICMP echo request (len 32 id 3 seq 14080)
10.10.10.10 > 172.16.1.5 > 172.16.1.2
50: Inbound ICMP echo reply (len 32 id 3 seq 14080)
172.16.1.2 > 172.16.1.5 > 10.10.10.10
Kiểm tra quá trình translation :
Pix(config)# show xlate
2 in use, 2 most used
Global 172.16.1.5 Local 10.10.10.10
Global 209.162.1.9 Local 10.10.10.10
dmz#ping 172.16.1.5
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.1.5, timeout is 2
seconds:
Success rate is 100 percent (5/5), round-trip min/avg/max =
100/180/200 ms
2530#ping 209.162.1.9
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 209.162.1.9, timeout is 2
seconds:
Success rate is 100 percent (5/5), round-trip min/avg/max =
104/180/200
Kiểm tra các host inside có thể truy cập internet (mạng outside)
Error!
Bây giờ ta tạo một access-list cho outbound traffic như sau :
- từ chối outbound web traffic
- cho phép outbound traffic còn lại
Cấu hình như sau :
Tạo một access-list có tên là aclout .
Pix(config)# access-list aclout deny tcp any any eq www
Pix(config)#access-list aclout permit tcp host 10.10.10.10 host
172.16.1.2 eq www
=>mặc dù không cần thiết nhưng ta vẫn cấu hình cho phép các
host trong mạng inside được phép đi web đến dmz .
Pix(config)# access-list aclout permit ip any any
Pix# sh access-list aclout
access-list aclout; 3 elements
access-list aclout deny tcp any any eq www (hitcnt=6)
access-list aclout permit tcp host 10.10.10.10 host 172.16.1.2 eq
www (hitcnt=0)
access-list aclout permit ip any any (hitcnt=45)
Áp access-list aclout vào interface inside bằng lệnh access-group
Pix(config)# access-group aclout in interface inside
Kiểm tra :
Error!
ð từ PC không thể đi web ra mạng ngoài được .
Sau khi hoàn tất , thực hiện lưu cấu hình vào flash :
Pix(config)# write memory
