Налаштовуємо cisco pix firewall 520 для трансляції з’єднань між мережами

Налаштовуємо Cisco PIX Firewall 520 для трансляції з'єднань між мережами

Зазвичай для тих, хто вперше починає настройку firewall, принципи роботи трансляції з'єднань стають одним з найбільш складних моментів для розуміння, тому основний упор ми зробили на описі цих принципів на прикладі типової схеми.

Короткі відомості o Cisco PIX Firewall 520

На вигляд цей firewall є дещо модернізований ПК - корпус, материнська плата, блок живлення, 3.5 "привід для гнучких дисків, які на вигляд такі ж, як у звичайного ПК. Жорсткого диска у цього пристрою, на щастя, немає, а в якості довгострокової пам'яті використовується флеш-пам'ять, яка розміщена на окремій PCI-платі розширення разом з іншими схемами, що реалізують специфічні функції, такі як консольний порт і інтерфейс перекриття збоїв (Failover), який дозволяє дублювати основний firewall резервним в разі виходу його з ладу.

Для інтересу наведу основні технічні характеристики пристрою, що використовується в описаному випадку - 768 Мб RAM, CPU Pentium III 848 МГц, Flash 16 Мб, 4 мережевих адаптера 10/100.

Операційна система, за словами представників компанії Cisco, спеціально розроблена для даних задач, що дозволяє пристрою обробляти набагато більший потік даних, ніж звичайні операційні системи для ПК. Версія операційної системи в конкретному випадку - 6.3 (4).

Інтерфейс командного рядка дуже схожий з інтерфейсом маршрутизаторів Cisco, але має деякі недоліки, втім, не настільки суттєві, щоб їх окремо описувати.

Проста типова схема, яка досить часто використовується в невеликих мережах (див. Рис. 1).

Малюнок 1. Схема мережі

Firewall одним інтерфейсом підключений до інтернет-провайдера.

До другого інтерфейсу підключений сервер, за яким знаходиться локальна мережа.

На третій інтерфейс користувача окремо винесено веб-сервер. Це зроблено з міркувань безпеки, тому що веб-сервер потенційно більш вразливий, ніж інші наші служби, і тому повинен бути відділений від решти мережі, щоб в разі його злому зменшити небезпеку для інших комп'ютерів нашої мережі. Крім злому сервера, порушити роботу мережі може і велика кількість запитів до нього, в цьому випадку відділення веб-сервера дозволить локалізувати подібну проблему.

Найчастіше для позначення окремого сегмента мережі, призначеного для розміщення загальнодоступних сервісів, застосовується термін DMZ (ДМЗ - демілітаризована зона). Ця назва використовується і в документації до firewall. У нашому ж випадку використано назву «www», яке є більш простим і наочним для описуваної схеми.

Доменне ім'я, яке використовується в нашій мережі, визначимо як «my.domain.tld».

Після того як схема мережі розглянута, переходимо безпосередньо до налаштування firewall. Деталі будуть описані лише моменти, які безпосередньо стосуються нашої схеми.

Первісна настройка повинна проводитися через консольний порт. Потім можна буде управляти firewall віддалено по протоколу ssh.

Наведу лише простий приклад:

Таблиця трансляцій (xlate)

Для трансляції з'єднань firewall створює таблицю відповідностей, яка в термінології Cisco PIX 520 називається xlate або translation slots. Ми можемо подивитися вже існуючі записи в таблиці командою «show xlate», а очистити всю таблицю - командою «clear xlate». До речі, останню операцію рекомендується робити після змін правил трансляції, але врахуйте, що це призведе до розриву вже встановлених з'єднань, якщо вони створені з використанням будь-якої трансляції.

clear xlate global 1.2.3.246

clear xlate local 192.168.255.6 lport 80

При відсутності обміну записи в таблиці трансляцій видаляються після закінчення тайм-ауту, який задається командою «timeout xlate» і за замовчуванням дорівнює трьом годинах. Записи для протоколу UDP видаляються через 30 секунд після закриття з'єднання, незалежно від заданого значення тайм-ауту.

Звернення з сервера до зовнішнього світу

Для настройки звернень сервера до зовнішнього світу використовуються команди «global» і «nat».

global (outside) 1 interface

Наступною командою ми задаємо, що звернення з хоста 192.168.255.2, підключеного на інтерфейсі inside, транслюватимуться через глобальний пул номер 1:

nat (inside) 1 192.168.255.2 255.255.255.255

Відповідність глобальних і локальних пулів визначається за номером (NAT ID), який вказується в цих командах.

Все, можна перевіряти доступність зовнішнього світу з сервера.

При зміні правил трансляції не забувайте виконувати команду «clear xlate».

Звернення з зовнішнього світу до сервера

На нашому сервері є декілька служб, які повинні бути доступні ззовні, в нашому випадку це DNS, SSH, SMTP, FTP.

Для настройки трансляції з інтерфейсу outside на інтерфейс inside використовується команда «static».

Крім самої команди «static», необхідні дозвільні правила повинні бути вказані у відповідних списках доступу (access-list).

Синтаксис команди «static», який використовується в даному випадку, досить простий:

Наступною командою ми задаємо статичну трансляцію з глобального інтерфейсу outside на локальний інтерфейс inside для протоколу tcp з 25-го порту глобального інтерфейсу на 25-й порт хоста 192.168.255.2:

static (inside, outside) tcp interface 25 192.168.255.2 25

Стосовно до SMTP-протоколу потрібно згадати, що firewall з міркувань безпеки змінює рядок привітання нашого SMTP-сервера, замінюючи майже все зірочками. Наприклад, з рядка: