A következőkben röviden leírom hogy, lehet létrehozni DMZ network-öt cisco ASA segítségével.

A konfig-ban a topológián látható SFTP server van web server-ként kezelve (De ez alapján a kiegészíthető a konfig…)

hostname firewall

!

interface Ethernet0

 nameif outside

 security-level 0

 ip address 172.16.1.2 255.255.255.0

no shut

!                        

interface Ethernet1

 nameif inside

 security-level 100

 ip address 172.19.0.1 255.255.255.0

no shut

!

interface Ethernet2

 nameif DMZ

 security-level 50

 ip address 172.17.0.1 255.255.255.0

no shut

!

 !!ACL for outside interface in direction

access-list outside_in extended permit tcp any host 172.16.1.2 eq ftp

access-list outside_in extended permit tcp any host 172.16.1.2 eq ssh

access-list outside_in extended permit tcp any host 172.16.1.2 eq www

access-list outside_in extended permit tcp any host 172.16.1.2 eq 3389

access-list outside_in extended deny ip any any

!!ACL from inside toDMZ

access-list ins_to_dmz extended permit ip any host 172.17.0.2

access-list ins_to_dmz extended permit ip any host 172.17.0.3

access-list ins_to_dmz extended deny ip any any

!!PAT beállítás a DMZ-re és az Inside network-re

global (outside) 1 interface

nat (inside) 1 172.19.0.0 255.255.255.0

nat (DMZ) 1 172.17.0.0 255.255.255.0

!!Portforward  az Inside network-ben lévő terminal serverre (az internet felől)

static (inside,outside) tcp interface 3389 172.19.0.2 3389 netmask 255.255.255.255

!!Portforward a DMZ networkben lévő web serverre (az internet felől)

static (DMZ,outside) tcp interface www 172.17.0.2 www netmask 255.255.255.255

!! Az Inside terminal server-ről  a DMZ web serverére és a vissza irányú forgalom engedélyezése.

!!Megadjuk az web server inside-ból látszó virtuális IP címét

static (DMZ,inside) 172.19.0.3 172.17.0.2 netmask 255.255.255.255

!!Megadjuk a terminal server DMZ-ből látszó virtuális címét

static (inside,DMZ) 172.17.0.3 172.19.0.2 netmask 255.255.255.255

access-group outside_in in interface outside

access-group ins_to_dmz out interface DMZ

!!Default route beállítása

route outside 0.0.0.0 0.0.0.0 172.16.1.1 1

!!Default class map és a Default inspectek (ez fontos a Nat-hoz….)

class-map inspection_default

 match default-inspection-traffic

!

!

policy-map type inspect dns preset_dns_map

 parameters

  message-length maximum 512

policy-map global_policy

 class inspection_default

  inspect dns preset_dns_map

  inspect ftp

  inspect h323 h225

  inspect h323 ras

  inspect netbios

  inspect rsh

  inspect rtsp

  inspect skinny

  inspect esmtp

  inspect sqlnet

  inspect sunrpc

  inspect tftp

  inspect sip

  inspect xdmcp

  inspect icmp

policy-map localpolicy1

 class inspection_default

!

service-policy global_policy global

További szép napot!

Popularity: 27% [?]

Related posts:

1. IPsec VPN Cisco PIX-el         Először egy egyszerűbb kisvállalati topológiával kezdeném,...
2. CCNA sec study notes #1 – SDM Elkezdtem tanulni az IINS vizsgára (ez a CCNA security vizsga)....
3. Cisco Remote Access VPN – MS CA Server – MS Radius Végül elkészült a Cisco VPN Klienssel használható Remote Access...
4. VPN Hozzáférés #1 – Cisco VPN Kliens – Local Auth Sziasztok, megpróbálom összeszedni a gondolataimat a VPN Hozzáféréssel kapcsolatban, ezért...
5. Small site multi-homing Sok esetben a kisirodák is két internetszolgáltatót használnak a nagyobb...