понедельник, 20 мая 2013 г.

Вкратце о логике Cisco PIX




Немного заметок.

Интерфейсы и Зоны Безопасности:

interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50

Зонам назначается номер. Наивысший номер у зоны с максимальным уровнем безопасности, наименьший - у зоны с низшим уровнем безопасности.
По-умолчанию, доступ из зоны с большим номером в зону с меньшим номер разрешён. Обратно - запрещён.

NAT

static (inside,outside) cvetochek_out cvetochek_in netmask 255.255.255.255 0 0
static (inside,dmz) cvetochek_out cvetochek_in netmask 255.255.255.255 0 0

Проброс из зоны в зону

Access-Lists

Бывают двух видов:

1) access-list all_vpn permit ip 172.16.0.0 255.255.0.0 172.19.0.0 255.255.0.0

2) conduit permit tcp host web5_comstar_out eq https any
    conduit permit tcp host web5_comstar_out eq www any
    conduit permit tcp host arc_in range 10000 10075 host web5_comstar_out
    conduit permit tcp host arc2_in range 10000 10075 host web5_comstar_out
    conduit permit tcp host maya_out eq www host web5_comstar_out
    сonduit permit tcp host chara_comstar_out range 8100 9000 host web5_comstar_out
    conduit permit tcp host arctur2_comstar_out eq 1433 host web5_comstar_out
    conduit permit tcp host mirach2_comstar_out eq 1433 host web5_comstar_out

Последний вариант, как правило на древних прошивках.

Object-Group:

Можно создавать такие группы:

object-group icmp-type echogroup
  icmp-object echo-reply
  icmp-object unreachable
  icmp-object time-exceeded
  icmp-object echo
object-group service shom tcp
  port-object eq 3389
  port-object eq www
  port-object eq 2598
  port-object eq citrix-ica
  port-object eq https
object-group network CD_in
  network-object host CD2_in
  network-object host CD1_in
  network-object host CDTEST_in
object-group service ElPorts tcp
  port-object eq https
  port-object eq 4443
  port-object eq 5060
  port-object eq 6800
  port-object eq 6801
  port-object eq 6802
  port-object eq 6880
  port-object eq 36005
  port-object eq 36006
  port-object eq 36007
  port-object eq 37000
  port-object eq 3998
  port-object eq 30022
  port-object eq www
  port-object eq 8222
object-group service CD-GPorts udp
  port-object eq tftp
  port-object eq 5060
  port-object range 20000 50000
  port-object eq domain
object-group network Offices
  network-object host 209.88.82.14
  network-object host 101.20.85.172

Как выйти из режима Show Run:

- Кнопка Q!

Если вы ввели show run, то польётся большая простыня конфигурации. Люди что не работали с такой древностью не знают как правило, что единственный способ остановить процесс - это клавиша Q.

Аналог sh ip int br:

show int | i interface e



Комментариев нет:

Отправить комментарий