Sécurité - Configuration du PIX - Serveur Mail sur DMZ ccnp_cch

- Introduction - Composants utilisés Sommaire - Introduction - Composants utilisés - Configuration - Schéma du réseau - Configurations - Vérification - Résolution de problèmes ccnp_cch

Introduction Cet exemple de configuration démontre comment configurer un Cisco PIX Firewall pour l'accès à un serveur mail situé dans la DMZ. Composants utilisés Cette configuration a été réalisée et testée en utilisant les versions matérielles et logicielles suivantes: • Cisco PIX Firewall 515-E • Cisco PIX Firewall Logiciel Release 6.2(2) Configuration Schéma du Réseau Serveur SMTP 172.16.128.103 209.64.3.5 192.168.1.0/24 FAI Configurations Cisco PIX Firewall PIX Version 6.2(2) !−−− Ces commandes nomment et fixent les niveaux !−−− de sécurité des interfaces respectives. nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security50 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname SanQuentin domain−name noplace.com fixup protocol ftp 21 fixup protocol http 80 fixup protocol h323 ras 1718−1719 fixup protocol h323 h225 1720 fixup protocol ils 389 ccnp_cch

ccnp_cch fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 fixup protocol skinny 2000 no names !−−− Cette instruction crée une liste d'accès nommée smtp qui !−−− autorise le trafic SMTP de toutes origines d'atteindre le !−−− le serveur à l'adresse 209.164.3.5. Note: il y a une et une seule !−−− liste d'accès autorisée par interface et par direction (par exemple, !--- inbound sur l'interface externe). A cause de cette limitation, toute !−−− ligne supplémentaire à placer dans la liste d'accès doit être placée !−−− ici. Si le serveur n'est pas un serveur SMTP, remplacez les !−−− occurrences smtp avec www, dns, pop3 ou ce qui est requis. ! access−list smtp permit tcp any host 209.164.3.5 eq smtp pager lines 24 logging on logging timestamp no logging standby logging console debugging logging monitor debugging logging buffered debugging logging trap debugging no logging history logging facility 23 logging queue 512 !−−− Ces commandes indiquent au PIX de tester le média !−−− de chaque interface. interface ethernet0 auto interface ethernet1 auto interface ethernet 2 auto mtu outside 1500 mtu inside 1500 mtu dmz 1500 !−−− Ces commandes configurent les adresses IP des interfaces !--- respectives. ip address inside 192.168.1.1 255.255.255.252 ip address outside 209.164.3.1 255.255.255.252 ip address dmz 172.16.128.1 255.255.255.0 ccnp_cch

ccnp_cch no failover ! arp timeout 14400 !−−− Ces commandes établissent PAT (Port Address Translation) pour le !−−− trafic issu de l'intérieur et traversant le PIX pour aller vers !−−− l'extérieur. global (outside) 1 209.164.3.129 nat (inside) 1 192.168.1.0 255.255.255.0 !−−− Cette traduction statique crée une traduction entre l'adresse !--- légale (outside) du server (209.164.3.5) et l'adresse privée !--- 172.16.128.103 (inside). static (dmz,outside) 209.164.3.5 172.16.128.103 netmask 255.255.255.255 !−−− Cette traduction statique empêche la traduction de 192.168.1.x !−−− réseau interne quand des paquets sont transmis vers la DMZ. static (inside,dmz) 192.168.1.0 192.168.1.0 netmask 255.255.255.0 !−−− Cette instruction applique la liste d'accès crée au-dessus à !−−− l'interface nommée "outside". Comme elle est appliquée en entrée !−−− le PIX vérifiera tous les paquets entrants avec cette liste, !−−− éliminant les paquets non explicitement permis. access−group smtp in interface outside !−−− Cette commande indique au PIX de transmettre tous les paquets non !−−− destinés au réseaux directement connectés au routeur à l'adresse !−−− 209.164.3.2 (routeur externe). route outside 0.0.0.0 0.0.0.0 209.164.3.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa−server TACACS+ protocol tacacs+ aaa−server RADIUS protocol radius aaa−server LOCAL protocol local http server enable http 192.168.1.0 255.255.255.0 inside no snmp−server location no snmp−server contact snmp−server community public no snmp−server enable traps floodguard enable terminal width 80 Cryptochecksum:d66eb04bc477f21ffbd5baa21ce0f85a : end ccnp_cch

! !−−− Commande alternative: !−−− conduit permit tcp host 209.164.3.5 eq smtp any !−−− Cette commande, dans les versions de logiciel PIX antérieures, !--- avait la même fonction que les commandes access−list and !--- access−group utilisées ci-dessus. Vérification Il n'y a pas de procédure de vérification disponible pour cette configuration. Résolution de problèmes La commande logging console debugging dirige les messages vers la console du PIX. S'il y a un problème avec le courrier, examinez les messages pour localiser l'adresse IP des stations émettrices et réceptrices pour résoudre le problème. ccnp_cch