Налаштування брандмауера cisco ios firewall для маршрутизатора з двома інтерфейсами з

Даний зразок конфігурації працює для невеликого офісу, підключеного безпосередньо до Інтернету. При цьому передбачається, що система доменних імен (DNS), простий протокол передачі пошти (SMTP) і веб-служби надані віддаленою системою, запущеної на сервері постачальника послуг Інтернету (ISP). Усередині мережі є тільки два інтерфейси і відсутні служби. Це робить мережу простий по конфігурації брандмауера. Ні ведення журналу, тому що немає доступного вузла, який надає служби ведення журналу.

Для цього документа відсутні особливі вимоги.

Відомості, що містяться в даному документі, стосуються наступних версій програмного забезпечення і устаткування:

Cisco IOS Software Release 12.2

Маршрутизатор Cisco 3640

Відомості, представлені в цьому документі, були отримані від пристроїв, що працюють в спеціальній лабораторній середовищі. Всі пристрої, описані в цьому документі, були запущені з чистою (стандартної) конфігурацією. У робочій мережі необхідно вивчити потенційний вплив всіх команд до їх використання.

У цьому розділі містяться відомості про налаштування функцій, описаних в цьому документі.

У цьому документі використовується наступна схема мережі.

Цей розділ дозволяє переконатися, що конфігурація працює правильно.

show version - відображення інформації про поточну завантаженої версії програмного забезпечення з інформацією про обладнання та пристрої.

debug ip nat - відображення даних про пакети IP, перетворених за допомогою функції IP NAT.

show ip nat translations - відображення активних трансляцій NAT.

show log - відображення інформації системного журналу.

show ip access-list - відображення вмісту всіх поточних списків доступу IP.

show ip inspect session - відображення існуючих сесій, що відслідковуються і перевіряються фаєрволом Cisco IOS Firewall.

debug ip inspect tcp - відображення повідомлень про події брандмауера Cisco IOS Firewall.

В даному прикладі показані вихідні дані команди show version.

Перш за все, перевірте коректну роботу NAT за допомогою команд debug ip nat і show ip nat translations як показано у вихідних даних.

Без додавання оператора ip inspect переконайтеся, що всі списки доступу працюють належним образом.Команда deny ip any any з ключовим словом log допоможуть з'ясувати, які пакети заблоковані.

У цьому випадку, це відповідь трафік Telnet-сесії з 172.16.150.2 від 10.0.0.1 (перетворений в 172.16.150.4).

В даному прикладі показані вихідні дані команди show log.

Після додавання оператора ip inspect цей рядок буде додана в список доступу для вирішення цієї Telnet-сесії:

Згодом (на більш "просунутому" рівні) можна також включити команду debug ip inspect tcp.

Якщо з'єднання не працює після настройки брандмауера IOS для маршрутизатора, переконайтеся, що для інтерфейсу включена команда перевірки ip inspect (name defined) in or out.В даної конфігурації ip inspect ethernetin in застосована до інтерфейсу Ethernet0 / 0.

Ви не можете виконати завантаження http, тому що це відмовляє або викликано таймаут. Як усунути цю проблему?

Питання може бути вирішене шляхом видалення ip inspect для трафіку HTTP так, щоб трафік HTTP не був оглянутий, і завантаження відбувається як очікувалося.