Posts Groups HD Exercícios Eu SOU CCNA Vídeo-aulas Contato
Conheça um Roteador e um Switch Cisco por dentro Configuração Básica do Roteador usando SDM
LAB: Configuração do PIX Firewall
On 9 de julho de 2011, in Laboratórios, Tutoriais, by emersonmeh Tutorial completo com passo a passo e troubleshooting de todas as configurações feitas. Print PDF
Neste tutorial, é possivel configurar e efetuar o troubleshooting de todas as configurações que serão feitas. O Tutorial não foi feito por mim, o crédito é do Profº Aurio Tenório que ministra a matéria de Laboratório de Redes no Centro Universitário SENAC. Efetuei toda a configuração utilizando o GNS3. Espero que sirva para todos que tem a necessidade ( ou simplesmente o intuito de aprender ) de aprender como efetuar uma configuração básica do Firewall PIX. Façam bom proveito !!!
Lab. – Configuração básica do PIX Objetivos: - Executar comandos de checagem - Configurar as interfaces do security appliance - Criar um pool global de globais e configurar NAT - Configurar roteamento através do appliance - Testar a conectividade das interfaces inside, outside e DMZ - Direcionar o log de eventos para um servidor syslog Topologia
Laboratório Tarefa 1: Comandos gerais Complete os passos seguintes para se familiarizar com os comandos iniciais de checagem e configuração. Fique bastante atento para interpretar corretamente o resultado dos comandos e requisite o auxílio do professor para sanar as dúvidas. ——————————————————————————– 1. Acesse o pix FW1. No primeiro acesso ao device, você é direcionado ao prompt de usuário. Neste prompt, apenas alguns comandos de checagem podem ser executados. Você não consegue configurar o device neste prompt. pixfirewall> ——————————————————————————– 2. Exiba a lista de comandos deste prompt, digitando o ponto de interrogação. pixfirewall> ? clear Reset functions enable Turn on privileged commands exit Exit from the EXEC help Interactive help for commands login Log in as a particular user logout Exit from the EXEC ping Send echo messages quit Exit from the EXEC
show Show running system information traceroute Trace route to destination ——————————————————————————– 3. Entre no modo privilegiado com o comando enable. Quando requisitado por uma senha (password), apenas tecle Enter. pixfirewall> enable password: pixfirewall# ——————————————————————————– 4. Exiba a lista de comandos do prompt privilegiado. DICA: Pressione a barra de espaços para girar a página ou pressione Q (quit) para cancelar o resultado da saída. pixfirewall# ? aaa-server Specify a AAA server activation-key Modify activation-key asdm Disconnect a specific ASDM session blocks Set block diagnostic parameters capture Capture inbound and outbound packets on one or more interfaces cd Change current directory clear Reset functions client-update Execute client updates on all or specific tunnel-groups clock Manage the system clock configure Configure using various methods copy Copy from one file to another cpu general CPU stats collection tools crashinfo Crash information crypto Execute crypto Commands debug Debugging functions (see also ‘undebug’) delete Delete a file dir List files on a filesystem disable Exit from privileged mode downgrade Downgrade the file system and reboot dynamic-access-policy-config Activates the DAP selection configuration file. eou EAPoUDP erase Erase a filesystem … ——————————————————————————– 5. O comando show running-config mostra a configuração corrente sendo executada pelo device. DICA: Use a tecla TAB para completar os comandos. Você também pode abreviar os comandos. pixfirewall# show running-config (show run) : Saved :
PIX Version 8.0(3) ! hostname pixfirewall enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 shutdown no nameif no security-level no ip address ! interface Ethernet1 shutdown no nameif no security-level no ip address ! … ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum:8155ed0f27cc702c56ac2f6a39becc99 : end ——————————————————————————– 6. Execute o comando show version para identificar as capacidades do device e o tipo de licença do software. Este comando mostra também a quantidade de memória que o device possui, o número de interfaces, assim como a versão do PixOS sendo executada.
pixfirewall# show version Cisco PIX Security Appliance Software Version 8.0(3) Compiled on Tue 06-Nov-07 19:50 by builders System image file is “Unknown, monitor mode tftp booted image” Config file at boot was “startup-config” pixfirewall up 3 mins 24 secs Hardware: PIX-525, 128 MB RAM, CPU Pentium II 1 MHz Flash E28F128J3 @ 0xfff00000, 16MB BIOS Flash AM29F400B @ 0xfffd8000, 32KB 0: 1: 2: 3: 4: Ext: Ext: Ext: Ext: Ext: Ethernet0 : Ethernet1 : Ethernet2 : Ethernet3 : Ethernet4 : address is 0000.ab85.8e00, irq 9 address is 0000.ab85.8e01, irq 11 address is 0000.ab85.8e02, irq 11 address is 0000.abcd.ef03, irq 11 address is 0000.abcd.ef04, irq 11
Licensed features for this platform: Maximum Physical Interfaces : 10 Maximum VLANs : 100 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Cut-through Proxy : Enabled Guards : Enabled URL Filtering : Enabled Security Contexts : 2 GTP/GPRS : Disabled VPN Peers : Unlimited This platform has an Unrestricted (UR) license. Serial Number: 808062467 Running Activation Key: 0x8f104b04 0xc48e0e7f 0xfcdfd51e 0x36bc5084 Configuration has not been modified since last system restart. ——————————————————————————– 7. O comando show history mostra o histórico de comandos executados. pixfirewall# show history enable show running-config show version show history ——————————————————————————– 8. Qualquer configuração deve ser executada a partir do prompt de configuração global. Entre neste prompt com o comando configure terminal e configure o hostname do PIX para FIREWALL1. pixfirewall# configure terminal
5 de 21 29/04/2012 21:20
pixfirewall(config)# hostname FIREWALL1 FIREWALL1(config)# ——————————————————————————– 9. A feature names permite que você atribua nomes aos devices ao invés de referenciar seus endereços IP. Para usar essa feature, você precisa ativá-la com o comando names. FIREWALL1(config)# names ——————————————————————————– 10. Atribua o nome bastionhost para o servidor web na DMZ. FIREWALL1(config)# name 172.16.1.10 bastionhost ——————————————————————————– 11. Atribua o nome insidehost para o PC da rede interna. FIREWALL1(config)# name 10.0.1.3 insidehost ——————————————————————————– 12. Salve suas configurações para a memória flash. FIREWALL1(config)# write memory Building configuration… Cryptochecksum: e6910082 d22f2fac ce83bbde cbc96b56 1902 bytes copied in 1.30 secs (1902 bytes/sec) [OK] ——————————————————————————– Tarefa 2: Configuração das interfaces 13. Agora chegou o momento de configurar as interfaces do pix. Para configurar uma interface, no prompt de configuração global, use o comando interface mais o nome e número da interface. Comece configurando a interface Ethernet0 (inside). Note a mudança de prompt para (config-if) sinalizando que você está configurando uma interface. FIREWALL1(config)# interface ? configure mode commands/options: Ethernet IEEE 802.3 FIREWALL1(config)# interface ethernet ? configure mode commands/options: Ethernet interface number FIREWALL1(config)# interface ethernet 0 FIREWALL1(config-if)# NOTA: Use o ponto de interrogação sempre que precisar de auxílio para complementar um comando, ou mesmo quando estiver em dúvida quanto à palavra correta de um comando. Por exemplo, para saber quantos comandos começam com name, complemente a palavra name com um ponto de interrogação, sem espaços, conforme ilustrado a seguir. FIREWALL1(config-if)# name?
interface mode commands/options: nameif configure mode commands/options: name names ——————————————————————————– 14. Cinco configurações precisam ser executadas para colocar uma interface operacional: ip address, speed, duplex, security-level e nameif. IP address: Endereço IP da interface. Speed: Velocidade da interface (10 ou 100 Mbps, 1 Gbps (ASA) ou auto, para autonegociação). Duplex: Capacidade duplex. Pode assumir half, full ou auto, para autonegociação. Recomendamos sempre configurar a interface para trabalhar em full-duplex. Security-level: Nível de segurança entre 0 e 100, onde 100 é o nível máximo de segurança e 0 o nível mínimo. Tráfego inbound (entrando) significa tráfego fluindo de uma interface de security-level mais baixo para uma interface com security-level mais alto. Tráfego outbound (saindo) significa tráfego fluindo de uma interface com security-level mais alto para uma interface com security-level mais baixo. O tráfego nunca flui diretamente de uma interface com security-level mais baixo para uma interface com security-level mais alto sem liberação explícita (access-lists). É automaticamente bloqueado pelo PIX. Além disso, interfaces com níveis de segurança iguais não são capazes de se comunicar. Nameif: Nome da interface. Dois nomes são padronizados: inside e outside. A interface inside (interna) assume automaticamente o security-level 100. A interface outside (de fora) assume automaticamente o security-level 0. Outro nome bastante comum para uma interface é DMZ, que significa zona desmilitarizada. Na DMZ posicionamos os servidores de acesso público. Qualquer interface diferente de inside assume security-level 0. Portanto, configure estes cinco parâmetros na interface Ethernet 0 (inside) do PIX FW1. Oriente-se pela topologia para identificar o nameif e endereço IP da interface. Ao finalizar, ligue a interface com o comando no shutdown. FIREWALL1(config-if)# nameif inside INFO: Security level for “inside” set to 100 by default. FIREWALL1(config-if)# ip address 10.0.1.1 255.255.255.0 FIREWALL1(config-if)# speed 100 FIREWALL1(config-if)# duplex full FIREWALL1(config-if)# no shutdown FIREWALL1(config-if)# exit ——————————————————————————– 15. Confira se a interface está administrativamente up e operacional. FIREWALL1(config)# show interface eth0 Interface Ethernet0 “inside”, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e00, MTU 1500 IP address 10.0.1.1, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 0 packets output, 0 bytes, 0 underruns
7 de 21 29/04/2012 21:20
0 L2 decode drops 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/0) software (0/0) … Interface Ethernet2 “outside”, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e02, MTU 1500 IP address 200.0.1.1, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 1 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/1) software (0/1) ——————————————————————————– 20. Você pode usar filtros para selecionar um trecho específico da saída de um comando. Por exemplo, você poderia filtrar o resultado do comando show interface para capturar as linhas que considerar mais relevantes. No exemplo abaixo, complementando o comando show interface com pipe (|) e include foram capturadas as linhas onde aparecem as palavras Interface ou duplex ou IP ou MAC. Chamamos a expressão entre parênteses de regex (Regular Expression). FIREWALL1(config)# show interface | include (Interface|duplex|IP|MAC) Interface Ethernet0 “inside”, is up, line protocol is up Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab33.f500, MTU 1500 IP address 10.0.1.1, subnet mask 255.255.255.0 Interface Ethernet1 “dmz”, is up, line protocol is up Full-Duplex(Full-duplex), 10 Mbps(10 Mbps) MAC address 0000.ab33.f501, MTU 1500 IP address 172.16.1.1, subnet mask 255.255.255.0 Interface Ethernet2 “outside”, is up, line protocol is up Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab33.f502, MTU 1500 IP address 200.0.1.1, subnet mask 255.255.255.0 Interface Ethernet3 “”, is administratively down, line protocol is up Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps) MAC address 0000.abcd.ef03, MTU not set IP address unassigned Interface Ethernet4 “”, is administratively down, line protocol is up Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps) MAC address 0000.abcd.ef04, MTU not set IP address unassigned
——————————————————————————– 21. Com o comando show ip address você confere rapidamente o nome e o endereço IP configurado na interface. FIREWALL1(config)# show ip address System IP Addresses: Interface Name IP address Subnet mask Method Ethernet0 inside 10.0.1.1 255.255.255.0 manual Ethernet1 dmz 172.16.1.1 255.255.255.0 manual Ethernet2 outside 200.0.1.1 255.255.255.0 manual Current IP Addresses: Interface Name IP address Subnet mask Method Ethernet0 inside 10.0.1.1 255.255.255.0 manual Ethernet1 dmz 172.16.1.1 255.255.255.0 manual Ethernet2 outside 200.0.1.1 255.255.255.0 manual ——————————————————————————– 22. Com o comando show nameif você confere rapidamente o nome e os security-levels. FIREWALL1(config)# show nameif Interface Name Security Ethernet0 inside 100 Ethernet1 dmz 50 Ethernet2 outside 0 ——————————————————————————– 23. Use o comando show names para checar a configuração do mapeamento de IPs para nomes. FIREWALL1(config)# show names name 10.0.1.3 insidehost name 172.16.1.10 bastionhost ——————————————————————————– 24. Desafio Configure hostname, o mapeamento de nomes e as interfaces do PIX FIREWALL2. ——————————————————————————– 25. Salve suas configurações. FIREWALL1(config)# wr Building configuration… Cryptochecksum: 0ceec793 2ba63ca7 26df7122 c2288916 2067 bytes copied in 1.220 secs (2067 bytes/sec) [OK] FIREWALL1(config)# ——————————————————————————– Tarefa 3: Configuração de endereços globais, NAT dinâmico e roteamento 26. Comece ativando a capacidade NAT. FIREWALL1(config)# nat-control
——————————————————————————– 27. Crie um pool global de endereços quentes (válidos). Use o comando global associando este pool à interface outside e amarrando ao ID 1. Este pool de endereços será usado para as conexões de saída. Ao final, confira as configurações. FIREWALL1(config)# global (outside) 1 200.0.1.20-200.0.1.254 netmask 255.255.255.0 FIREWALL1(config)# show run global global (outside) 1 200.0.1.20-200.0.1.254 netmask 255.255.255.0 ——————————————————————————– 28. Configure NAT para permitir que os hosts da inside tenham acesso externo. Use o ID 1 para associar este NAT ao pool global criado anteriormente. Ao final, confira as configurações. FIREWALL1(config)# nat (inside) 1 10.0.1.0 255.255.255.0 FIREWALL1(config)# show run nat nat (inside) 1 10.0.1.0 255.255.255.0 NOTA: A amarração de um par de comandos nat/global se dá através do NAT ID. ——————————————————————————– 29. Agora configure uma rota default para o tráfego que sai pela interface outside usando o comando route. O comando route chama como complemento uma interface para onde o tráfego será direcionado, a rede e máscara destino e o endereço IP de próximo salto. FIREWALL1(config)# route outside 0.0.0.0 0.0.0.0 200.0.1.2 NOTA: A maneira correta de interpretar o comando acima é a seguinte: Roteie para a interface outside tráfego para qualquer destino (0.0.0.0/0), usando como próximo salto o roteador RBB. Se quisesse rotear para uma subnet específica, bastaria substituir o endereço 0.0.0.0/0 pelo endereço e máscara da subnet. ——————————————————————————– 30. Confira a tabela de roteamento do PIX. Note que existem subnets diretamente conectadas e a rota default. FIREWALL1(config)# show route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area * – candidate default, U – per-user static route, o – ODR P – periodic downloaded static route Gateway of last resort is 200.0.1.2 to network 0.0.0.0 C 200.0.1.0 255.255.255.0 is directly connected, outside C 10.0.1.0 255.255.255.0 is directly connected, inside C 172.16.1.0 255.255.255.0 is directly connected, dmz S* 0.0.0.0 0.0.0.0 [1/0] via 200.0.1.2, outside ——————————————————————————–
31. Salve suas configurações. FIREWALL1(config)# write memory Building configuration… Cryptochecksum: 3d8e471c b67f7848 ba8190e7 8664314d 2134 bytes copied in 1.190 secs (2134 bytes/sec) [OK] ——————————————————————————– 32. Desafio Repita o procedimento anterior de configuração e configure no FW2 um pool global de endereços, NAT inside e uma rota default. Confira as configurações. ——————————————————————————– Tarefa 4: Configuração dos roteadores 33. Agora configure hostname e o endereço IP nos roteadores R1, R2 e RBB. Desabilite o roteamento em R1 e R2 e configure como default gateway o endereço da interface diretamente conectada do PIX. Router> enable Router# configure terminal Router(config)# hostname R1 R1(config)# interface fastethernet 0/0 R1(config-if)# ip address 10.0.1.100 255.255.255.0 R1(config-if)# no shutdown R1(config-if)# exit R1(config)# no ip routing R1(config)# ip default-gateway 10.0.1.1 R1(config)# end R1# copy running-config startup-config Destination filename [startup-config]? Building configuration… [OK] R1# ————————— Router> enable Router# configure terminal Router(config)# hostname R2 R2(config)# interface fastethernet 0/0 R2(config-if)# ip address 10.0.2.100 255.255.255.0 R2(config-if)# no shutdown R2(config-if)# exit R2(config)# no ip routing R2(config)# ip default-gateway 10.0.2.1 R2(config)# end R2# copy running-config startup-config ————————— Router> enable Router# configure terminal
Router(config)# hostname RBB RBB(config)# interface fastethernet 0/0 RBB(config-if)# ip address 200.0.1.2 255.255.255.0 RBB(config-if)# description RBB—>FW1 RBB(config-if)# no shutdown RBB(config-if)# interface fastethernet 0/1 RBB(config-if)# ip address 200.0.2.2 255.255.255.0 RBB(config-if)# description RBB—>FW2 RBB(config-if)# no shutdown RBB(config-if)# interface loopback 0 RBB(config-if)# ip address 189.0.0.1 255.255.255.0 RBB(config-if)# description +++Public Web Server+++ RBB(config-if)# end RBB# copy running-config startup-config ——————————————————————————– Tarefa 5: Testando a conectividade 34. Um teste de conectividade bastante comum é usando pings. Vamos checar se as interfaces do FIREWALL 1 respondem às próprias requisições ping. FIREWALL1# ping 10.0.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms FIREWALL1# ping 172.16.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms FIREWALL1# ping 200.0.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ——————————————————————————– 35. Teste a conectividade com os devices adjacentes. Teste a conectividade com o servidor interno FTP (insidehost) FIREWALL1# ping insidehost Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to insidehost, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/82/130 ms ——————————————————————————– 36. Teste a conectividade com o servidor web (bastionhost). FIREWALL1# ping bastionhost Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to bastionhost, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 70/78/80 ms ——————————————————————————– 37. Teste a conectividade com R1. FIREWALL1# ping 10.0.1.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 120/142/160 ms ——————————————————————————– 38. Teste a conectividade com RBB. FIREWALL1# ping 200.0.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.1.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/64/80 ms ——————————————————————————– 39. Neste ponto você já deve ser capaz de alcançar a interface outside do FIREWALL 2. FIREWALL1# ping 200.0.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.2.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 120/174/240 ms ——————————————————————————– 40. Vamos testar se a configuração de NAT está funcionando acessando o servidor web no endereço . Lembre-se que esta é uma conexão outbound, ou seja, uma requisição partindo de uma rede mais protegida para uma rede menos protegida, ou seja, uma requisição partindo de uma rede com security-level mais alto para uma rede com security-level mais baixo. Esta conexão TCP será totalmente rastreada pelo PIX e o tráfego de retorno será permitido sem restrições, porque o pedido de conexão TCP partiu da rede interna. Abra o navegador no host da inside e digite no campo de endereço: http://189.0.0.1. Você deve receber a página web armazenada no router RBB. ——————————————————————————– 41. Execute o comando xlate para analisar a tabela de traduções do PIX. Note que um endereço do pool global foi usado nesta conexão. FIREWALL1# show xlate 1 in use, 9 most used Global 200.0.1.20 Local insidehost ——————————————————————————– 42. Analise mais detalhadamente com o auxílio do comando show local-host. FIREWALL1# show local-host insidehost Interface outside: 0 active, 3 maximum active, 0 denied
Interface dmz: 0 active, 1 maximum active, 0 denied Interface inside: 1 active, 1 maximum active, 0 denied local host: , TCP flow count/limit = 0/unlimited TCP embryonic count to host = 0 TCP intercept watermark = unlimited UDP flow count/limit = 0/unlimited Xlate: Global 200.0.1.20 Local insidehost ——————————————————————————– 43. Desafio Repita o teste de conectividade dos pings para o FIREWALL 2 e garanta que o servidor web externo esteja acessível aos hosts da rede interna. ——————————————————————————– Tarefa 6: Configurando um servidor syslog Garanta que o servidor syslog esteja ligado e que o serviço syslog esteja rodando no host da inside. Usaremos um servidor provido pela 3Com, o 3Com Daemon. 44. Comece ativando o log de eventos no pix. FIREWALL1(config)# logging enable ——————————————————————————– 45. Identifique o servidor syslog com o comando logging host. Complemente este comando com o nome da interface onde o servidor está localizado e o endereço ou o nome do servidor. FIREWALL1(config)# logging host inside insidehost ——————————————————————————– 46. Configure o nível das mensagens de log com o comando logging trap. FIREWALL1(config)# logging trap ? configure mode commands/options: Enter syslog level (0 – 7) WORD Specify the name of logging list alerts critical debugging emergencies errors informational notifications warnings FIREWALL1(config)# logging trap debugging FIREWALL1(config)# show logging Syslog logging: enabled Facility: 20 Timestamp logging: disabled Standby logging: disabled
estudeccna
bernardesrafael Participe, divulgue! Serão webcasts rápidos, "drops de TI" facebook.com/events/2154364…
4 hours ago reply retweet favorite
vocesa Dica para preservar a produtividade: mantenha o cérebro satisfeito bit.ly/Io8qKY
2 days ago reply retweet favorite
estudeccna @ivanildogalvao muita gente fera lá - Grupo EstudeCCNA estudeccna.com.br/grupo-de-estudo #CCNA #Cisco
2 days ago reply retweet favorite
estudeccna Opa, grande honra ñ deixe de participar do grupo. RT @ivanildogalvao: @estudeccna Estou fazendo o curso na @dltec e acompanho seu blog :-)
2 days ago reply retweet favorite
Join the conversation
Grupo EstudeCCNA
Participe do grupo EstudeCCNA E-mail: Visitar este grupo
9tut – Exércicios Práticos Bentow – Guia de estudo Brainwork's blog CCNA – Last minute revision Curso CCNA – DlteC do Brasil Diogo Fernandes Exames e exercícios GNS3-labs.com GNS3Vault Labs IPv6 Certifications Link State NetAcad Advantage Netfinders Brasil No Mundo das Redes Organização das Executivas de TI TICNICS – Redes de Computadores Vinícius Machado
Tags
640-802 ACL carreira CCENT
Internet Juniper lab laboratório livro
LAB: Configuração do PIX Firewall
On 9 de julho de 2011, in Laboratórios, Tutoriais, by emersonmeh Tutorial completo com passo a passo e troubleshooting de todas as configurações feitas. Neste tutorial, é possivel configurar e efetuar o troubleshooting de todas as configurações que serão feitas. O Tutorial não foi feito por mim, o crédito é do Profº Aurio Tenório que ministra a matéria de Laboratório de Redes no Centro Universitário SENAC. Efetuei toda a configuração utilizando o GNS3. Espero que sirva para todos que tem a necessidade ( ou simplesmente o intuito de aprender ) de aprender como efetuar uma configuração básica do Firewall PIX. Façam bom proveito !!! Lab. – Configuração básica do PIX Objetivos: - Executar comandos de checagem - Configurar as interfaces do security appliance - Criar um pool global de globais e configurar NAT - Configurar roteamento através do appliance - Testar a conectividade das interfaces inside, outside e DMZ - Direcionar o log de eventos para um servidor syslog Topologia Laboratório Tarefa 1: Comandos gerais Complete os passos seguintes para se familiarizar com os comandos iniciais de checagem e configuração. Fique bastante atento para interpretar corretamente o resultado dos comandos e requisite o auxílio do professor para sanar as dúvidas. ——————————————————————————–
1. Acesse o pix FW1. No primeiro acesso ao device, você é direcionado ao prompt de usuário. Neste prompt, apenas alguns comandos de checagem podem ser executados. Você não consegue configurar o device neste prompt. pixfirewall> ——————————————————————————– 2. Exiba a lista de comandos deste prompt, digitando o ponto de interrogação. pixfirewall> ? clear Reset functions enable Turn on privileged commands exit Exit from the EXEC help Interactive help for commands login Log in as a particular user logout Exit from the EXEC ping Send echo messages quit Exit from the EXEC show Show running system information traceroute Trace route to destination ——————————————————————————– 3. Entre no modo privilegiado com o comando enable. Quando requisitado por uma senha (password), apenas tecle Enter. pixfirewall> enable password: pixfirewall# ——————————————————————————– 4. Exiba a lista de comandos do prompt privilegiado. DICA: Pressione a barra de espaços para girar a página ou pressione Q (quit) para cancelar o resultado da saída. pixfirewall# ? aaa-server Specify a AAA server activation-key Modify activation-key asdm Disconnect a specific ASDM session blocks Set block diagnostic parameters capture Capture inbound and outbound packets on one or more interfaces cd Change current directory clear Reset functions client-update Execute client updates on all or specific tunnel-groups clock Manage the system clock configure Configure using various methods copy Copy from one file to another cpu general CPU stats collection tools crashinfo Crash information crypto Execute crypto Commands debug Debugging functions (see also ‘undebug’)
delete Delete a file dir List files on a filesystem disable Exit from privileged mode downgrade Downgrade the file system and reboot dynamic-access-policy-config Activates the DAP selection configuration file. eou EAPoUDP erase Erase a filesystem … ——————————————————————————– 5. O comando show running-config mostra a configuração corrente sendo executada pelo device. DICA: Use a tecla TAB para completar os comandos. Você também pode abreviar os comandos. pixfirewall# show running-config (show run) : Saved : PIX Version 8.0(3) ! hostname pixfirewall enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 shutdown no nameif no security-level no ip address ! interface Ethernet1 shutdown no nameif no security-level no ip address ! … ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh
inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum:8155ed0f27cc702c56ac2f6a39becc99 : end ——————————————————————————– 6. Execute o comando show version para identificar as capacidades do device e o tipo de licença do software. Este comando mostra também a quantidade de memória que o device possui, o número de interfaces, assim como a versão do PixOS sendo executada. pixfirewall# show version Cisco PIX Security Appliance Software Version 8.0(3) Compiled on Tue 06-Nov-07 19:50 by builders System image file is “Unknown, monitor mode tftp booted image” Config file at boot was “startup-config” pixfirewall up 3 mins 24 secs Hardware: PIX-525, 128 MB RAM, CPU Pentium II 1 MHz Flash E28F128J3 @ 0xfff00000, 16MB BIOS Flash AM29F400B @ 0xfffd8000, 32KB 0: 1: 2: 3: 4: Ext: Ext: Ext: Ext: Ext: Ethernet0 : Ethernet1 : Ethernet2 : Ethernet3 : Ethernet4 : address is 0000.ab85.8e00, irq 9 address is 0000.ab85.8e01, irq 11 address is 0000.ab85.8e02, irq 11 address is 0000.abcd.ef03, irq 11 address is 0000.abcd.ef04, irq 11
Licensed features for this platform: Maximum Physical Interfaces : 10 Maximum VLANs : 100 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Cut-through Proxy : Enabled Guards : Enabled URL Filtering : Enabled Security Contexts : 2 GTP/GPRS : Disabled VPN Peers : Unlimited
This platform has an Unrestricted (UR) license. Serial Number: 808062467 Running Activation Key: 0x8f104b04 0xc48e0e7f 0xfcdfd51e 0x36bc5084 Configuration has not been modified since last system restart. ——————————————————————————– 7. O comando show history mostra o histórico de comandos executados. pixfirewall# show history enable show running-config show version show history ——————————————————————————– 8. Qualquer configuração deve ser executada a partir do prompt de configuração global. Entre neste prompt com o comando configure terminal e configure o hostname do PIX para FIREWALL1. pixfirewall# configure terminal pixfirewall(config)# hostname FIREWALL1 FIREWALL1(config)# ——————————————————————————– 9. A feature names permite que você atribua nomes aos devices ao invés de referenciar seus endereços IP. Para usar essa feature, você precisa ativá-la com o comando names. FIREWALL1(config)# names ——————————————————————————– 10. Atribua o nome bastionhost para o servidor web na DMZ. FIREWALL1(config)# name 172.16.1.10 bastionhost ——————————————————————————– 11. Atribua o nome insidehost para o PC da rede interna. FIREWALL1(config)# name 10.0.1.3 insidehost ——————————————————————————– 12. Salve suas configurações para a memória flash. FIREWALL1(config)# write memory Building configuration… Cryptochecksum: e6910082 d22f2fac ce83bbde cbc96b56 1902 bytes copied in 1.30 secs (1902 bytes/sec) [OK] ——————————————————————————– Tarefa 2: Configuração das interfaces 13. Agora chegou o momento de configurar as interfaces do pix. Para configurar uma interface, no prompt de configuração global, use o comando interface mais o nome e
número da interface. Comece configurando a interface Ethernet0 (inside). Note a mudança de prompt para (config-if) sinalizando que você está configurando uma interface. FIREWALL1(config)# interface ? configure mode commands/options: Ethernet IEEE 802.3 FIREWALL1(config)# interface ethernet ? configure mode commands/options: Ethernet interface number FIREWALL1(config)# interface ethernet 0 FIREWALL1(config-if)# NOTA: Use o ponto de interrogação sempre que precisar de auxílio para complementar um comando, ou mesmo quando estiver em dúvida quanto à palavra correta de um comando. Por exemplo, para saber quantos comandos começam com name, complemente a palavra name com um ponto de interrogação, sem espaços, conforme ilustrado a seguir. FIREWALL1(config-if)# name? interface mode commands/options: nameif configure mode commands/options: name names ——————————————————————————– 14. Cinco configurações precisam ser executadas para colocar uma interface operacional: ip address, speed, duplex, security-level e nameif. IP address: Endereço IP da interface. Speed: Velocidade da interface (10 ou 100 Mbps, 1 Gbps (ASA) ou auto, para autonegociação). Duplex: Capacidade duplex. Pode assumir half, full ou auto, para autonegociação. Recomendamos sempre configurar a interface para trabalhar em full-duplex. Security-level: Nível de segurança entre 0 e 100, onde 100 é o nível máximo de segurança e 0 o nível mínimo. Tráfego inbound (entrando) significa tráfego fluindo de uma interface de security-level mais baixo para uma interface com security-level mais alto. Tráfego outbound (saindo) significa tráfego fluindo de uma interface com security-level mais alto para uma interface com security-level mais baixo. O tráfego nunca flui diretamente de uma interface com security-level mais baixo para uma interface com security-level mais alto sem liberação explícita (access-lists). É automaticamente bloqueado pelo PIX. Além disso, interfaces com níveis de segurança iguais não são capazes de se comunicar. Nameif: Nome da interface. Dois nomes são padronizados: inside e outside. A interface inside (interna) assume automaticamente o security-level 100. A interface outside (de fora) assume automaticamente o security-level 0. Outro nome bastante comum para uma interface é DMZ, que significa zona desmilitarizada. Na DMZ posicionamos os servidores de acesso público. Qualquer interface diferente de inside assume security-level 0.
Portanto, configure estes cinco parâmetros na interface Ethernet 0 (inside) do PIX FW1. Oriente-se pela topologia para identificar o nameif e endereço IP da interface. Ao finalizar, ligue a interface com o comando no shutdown. FIREWALL1(config-if)# nameif inside INFO: Security level for “inside” set to 100 by default. FIREWALL1(config-if)# ip address 10.0.1.1 255.255.255.0 FIREWALL1(config-if)# speed 100 FIREWALL1(config-if)# duplex full FIREWALL1(config-if)# no shutdown FIREWALL1(config-if)# exit ——————————————————————————– 15. Confira se a interface está administrativamente up e operacional. FIREWALL1(config)# show interface eth0 Interface Ethernet0 “inside”, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e00, MTU 1500 IP address 10.0.1.1, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/0) software (0/0) Traffic Statistics for “inside”: 128 packets input, 76758 bytes 0 packets output, 0 bytes 128 packets dropped 1 minute input rate 2 pkts/sec, 1279 bytes/sec 1 minute output rate 0 pkts/sec, 0 bytes/sec 1 minute drop rate, 2 pkts/sec 5 minute input rate 0 pkts/sec, 0 bytes/sec 5 minute output rate 0 pkts/sec, 0 bytes/sec 5 minute drop rate, 0 pkts/sec ——————————————————————————– 16. Confira as configurações da interface com o comando show running-config interface eth0. Diferente de um router, um pix permite a leitura de seções do arquivo de configuração. FIREWALL1(config)# show run interface eth0 ! interface Ethernet0 speed 100 duplex full nameif inside
security-level 100 ip address 10.0.1.1 255.255.255.0 FIREWALL1(config)# ——————————————————————————– 17. Configure também as interfaces Ethernet 1 (DMZ) e Ethernet 2 (outside). Defina o security-level da interface eth1 em 50. FIREWALL1(config)# interface ethernet1 FIREWALL1(config-if)# nameif dmz INFO: Security level for “dmz” set to 0 by default. FIREWALL1(config-if)# security-level 50 FIREWALL1(config-if)# ip address 172.16.1.1 255.255.255.0 FIREWALL1(config-if)# speed 100 FIREWALL1(config-if)# duplex full FIREWALL1(config-if)# no shutdown FIREWALL1(config-if)# interface eth2 FIREWALL1(config-if)# nameif outside INFO: Security level for “outside” set to 0 by default. FIREWALL1(config-if)# ip address 200.0.1.1 255.255.255.0 FIREWALL1(config-if)# speed 100 FIREWALL1(config-if)# duplex full FIREWALL1(config-if)# no shutdown FIREWALL1(config-if)# exit ——————————————————————————– 18. Confira as configurações das interfaces. FIREWALL1(config)# show run interface ! interface Ethernet0 speed 100 duplex full nameif inside security-level 100 ip address 10.0.1.1 255.255.255.0 ! interface Ethernet1 speed 100 duplex full nameif dmz security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet2 speed 100 duplex full nameif outside security-level 0 ip address 200.0.1.1 255.255.255.0 ! …
20. Você pode usar filtros para selecionar um trecho específico da saída de um comando. Por exemplo, você poderia filtrar o resultado do comando show interface para capturar as linhas que considerar mais relevantes. No exemplo abaixo, complementando o comando show interface com pipe (|) e include foram capturadas as linhas onde aparecem as palavras Interface ou duplex ou IP ou MAC. Chamamos a expressão entre parênteses de regex (Regular Expression). FIREWALL1(config)# show interface | include (Interface|duplex|IP|MAC) Interface Ethernet0 “inside”, is up, line protocol is up Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab33.f500, MTU 1500 IP address 10.0.1.1, subnet mask 255.255.255.0 Interface Ethernet1 “dmz”, is up, line protocol is up Full-Duplex(Full-duplex), 10 Mbps(10 Mbps) MAC address 0000.ab33.f501, MTU 1500 IP address 172.16.1.1, subnet mask 255.255.255.0 Interface Ethernet2 “outside”, is up, line protocol is up Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab33.f502, MTU 1500 IP address 200.0.1.1, subnet mask 255.255.255.0 Interface Ethernet3 “”, is administratively down, line protocol is up Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps) MAC address 0000.abcd.ef03, MTU not set IP address unassigned Interface Ethernet4 “”, is administratively down, line protocol is up Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps) MAC address 0000.abcd.ef04, MTU not set IP address unassigned ——————————————————————————– 21. Com o comando show ip address você confere rapidamente o nome e o endereço IP configurado na interface. FIREWALL1(config)# show ip address System IP Addresses: Interface Name IP address Subnet mask Method Ethernet0 inside 10.0.1.1 255.255.255.0 manual Ethernet1 dmz 172.16.1.1 255.255.255.0 manual Ethernet2 outside 200.0.1.1 255.255.255.0 manual Current IP Addresses: Interface Name IP address Subnet mask Method Ethernet0 inside 10.0.1.1 255.255.255.0 manual Ethernet1 dmz 172.16.1.1 255.255.255.0 manual Ethernet2 outside 200.0.1.1 255.255.255.0 manual ——————————————————————————– 22. Com o comando show nameif você confere rapidamente o nome e os security-levels. FIREWALL1(config)# show nameif Interface Name Security Ethernet0 inside 100 Ethernet1 dmz 50 Ethernet2 outside 0
——————————————————————————– 23. Use o comando show names para checar a configuração do mapeamento de IPs para nomes. FIREWALL1(config)# show names name 10.0.1.3 insidehost name 172.16.1.10 bastionhost ——————————————————————————– 24. Desafio Configure hostname, o mapeamento de nomes e as interfaces do PIX FIREWALL2. ——————————————————————————– 25. Salve suas configurações. FIREWALL1(config)# wr Building configuration… Cryptochecksum: 0ceec793 2ba63ca7 26df7122 c2288916 2067 bytes copied in 1.220 secs (2067 bytes/sec) [OK] FIREWALL1(config)# ——————————————————————————– Tarefa 3: Configuração de endereços globais, NAT dinâmico e roteamento 26. Comece ativando a capacidade NAT. FIREWALL1(config)# nat-control ——————————————————————————– 27. Crie um pool global de endereços quentes (válidos). Use o comando global associando este pool à interface outside e amarrando ao ID 1. Este pool de endereços será usado para as conexões de saída. Ao final, confira as configurações. FIREWALL1(config)# global (outside) 1 200.0.1.20-200.0.1.254 netmask 255.255.255.0 FIREWALL1(config)# show run global global (outside) 1 200.0.1.20-200.0.1.254 netmask 255.255.255.0 ——————————————————————————– 28. Configure NAT para permitir que os hosts da inside tenham acesso externo. Use o ID 1 para associar este NAT ao pool global criado anteriormente. Ao final, confira as configurações. FIREWALL1(config)# nat (inside) 1 10.0.1.0 255.255.255.0 FIREWALL1(config)# show run nat nat (inside) 1 10.0.1.0 255.255.255.0 NOTA: A amarração de um par de comandos nat/global se dá através do NAT ID. ——————————————————————————– 29. Agora configure uma rota default para o tráfego que sai pela interface outside usando o comando route. O comando route chama como complemento uma interface
para onde o tráfego será direcionado, a rede e máscara destino e o endereço IP de próximo salto. FIREWALL1(config)# route outside 0.0.0.0 0.0.0.0 200.0.1.2 NOTA: A maneira correta de interpretar o comando acima é a seguinte: Roteie para a interface outside tráfego para qualquer destino (0.0.0.0/0), usando como próximo salto o roteador RBB. Se quisesse rotear para uma subnet específica, bastaria substituir o endereço 0.0.0.0/0 pelo endereço e máscara da subnet. ——————————————————————————– 30. Confira a tabela de roteamento do PIX. Note que existem subnets diretamente conectadas e a rota default. FIREWALL1(config)# show route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area * – candidate default, U – per-user static route, o – ODR P – periodic downloaded static route Gateway of last resort is 200.0.1.2 to network 0.0.0.0 C 200.0.1.0 255.255.255.0 is directly connected, outside C 10.0.1.0 255.255.255.0 is directly connected, inside C 172.16.1.0 255.255.255.0 is directly connected, dmz S* 0.0.0.0 0.0.0.0 [1/0] via 200.0.1.2, outside ——————————————————————————– 31. Salve suas configurações. FIREWALL1(config)# write memory Building configuration… Cryptochecksum: 3d8e471c b67f7848 ba8190e7 8664314d 2134 bytes copied in 1.190 secs (2134 bytes/sec) [OK] ——————————————————————————– 32. Desafio Repita o procedimento anterior de configuração e configure no FW2 um pool global de endereços, NAT inside e uma rota default. Confira as configurações. ——————————————————————————– Tarefa 4: Configuração dos roteadores 33. Agora configure hostname e o endereço IP nos roteadores R1, R2 e RBB. Desabilite o roteamento em R1 e R2 e configure como default gateway o endereço da interface diretamente conectada do PIX. Router> enable Router# configure terminal
Sending 5, 100-byte ICMP Echos to 10.0.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms FIREWALL1# ping 172.16.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms FIREWALL1# ping 200.0.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ——————————————————————————– 35. Teste a conectividade com os devices adjacentes. Teste a conectividade com o servidor interno FTP (insidehost) FIREWALL1# ping insidehost Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to insidehost, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/82/130 ms ——————————————————————————– 36. Teste a conectividade com o servidor web (bastionhost). FIREWALL1# ping bastionhost Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to bastionhost, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 70/78/80 ms ——————————————————————————– 37. Teste a conectividade com R1. FIREWALL1# ping 10.0.1.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 120/142/160 ms ——————————————————————————– 38. Teste a conectividade com RBB. FIREWALL1# ping 200.0.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.1.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/64/80 ms ——————————————————————————–
39. Neste ponto você já deve ser capaz de alcançar a interface outside do FIREWALL 2. FIREWALL1# ping 200.0.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.2.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 120/174/240 ms ——————————————————————————– 40. Vamos testar se a configuração de NAT está funcionando acessando o servidor web no endereço . Lembre-se que esta é uma conexão outbound, ou seja, uma requisição partindo de uma rede mais protegida para uma rede menos protegida, ou seja, uma requisição partindo de uma rede com security-level mais alto para uma rede com security-level mais baixo. Esta conexão TCP será totalmente rastreada pelo PIX e o tráfego de retorno será permitido sem restrições, porque o pedido de conexão TCP partiu da rede interna. Abra o navegador no host da inside e digite no campo de endereço: http://189.0.0.1. Você deve receber a página web armazenada no router RBB. ——————————————————————————– 41. Execute o comando xlate para analisar a tabela de traduções do PIX. Note que um endereço do pool global foi usado nesta conexão. FIREWALL1# show xlate 1 in use, 9 most used Global 200.0.1.20 Local insidehost ——————————————————————————– 42. Analise mais detalhadamente com o auxílio do comando show local-host. FIREWALL1# show local-host insidehost Interface outside: 0 active, 3 maximum active, 0 denied Interface dmz: 0 active, 1 maximum active, 0 denied Interface inside: 1 active, 1 maximum active, 0 denied local host: , TCP flow count/limit = 0/unlimited TCP embryonic count to host = 0 TCP intercept watermark = unlimited UDP flow count/limit = 0/unlimited Xlate: Global 200.0.1.20 Local insidehost ——————————————————————————– 43. Desafio Repita o teste de conectividade dos pings para o FIREWALL 2 e garanta que o servidor web externo esteja acessível aos hosts da rede interna. ——————————————————————————– Tarefa 6: Configurando um servidor syslog Garanta que o servidor syslog esteja ligado e que o serviço syslog esteja rodando no host da inside. Usaremos um servidor provido pela 3Com, o 3Com Daemon. 44. Comece ativando o log de eventos no pix.
FIREWALL1(config)# logging enable ——————————————————————————– 45. Identifique o servidor syslog com o comando logging host. Complemente este comando com o nome da interface onde o servidor está localizado e o endereço ou o nome do servidor. FIREWALL1(config)# logging host inside insidehost ——————————————————————————– 46. Configure o nível das mensagens de log com o comando logging trap. FIREWALL1(config)# logging trap ? configure mode commands/options: Enter syslog level (0 – 7) WORD Specify the name of logging list alerts critical debugging emergencies errors informational notifications warnings FIREWALL1(config)# logging trap debugging FIREWALL1(config)# show logging Syslog logging: enabled Facility: 20 Timestamp logging: disabled Standby logging: disabled Deny Conn when Queue Full: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, facility 20, 3 messages logged Logging to inside insidehost History logging: disabled Device ID: disabled Mail logging: disabled ASDM logging: disabled FIREWALL1(config)# ——————————————————————————– 47. Partindo de R1, dê um ping na interface inside do pix. R1# ping 10.0.1.1 !!!!! ——————————————————————————– 48. Agora verifique se o servidor syslog capturou as mensagens resultantes dos pings. ——————————————————————————–
49. Desative o log. FIREWALL1(config)# no logging trap FIREWALL1(config)# no logging enable Gostou disso? Conte para todos LAB: Configuração do PIX Firewall Related posts: 1. Tutorial GNS3 2. Manual de Laboratórios 3. Exercícios: CCNA 1 Módulo 11 – Exploration v4.0
About the author
emersonmeh
If you enjoyed this article, please consider sharing it!