Configuration d'un accès PIX ASA 7.x - Configuration d'un accès à un serveur Mail sur Réseau Interne ccnp_cch
Sommaire • Configuration • Résolution de problèmes • Introduction - Composants utilisés • Configuration - Schéma - Configurations - Configuration ESMTP TLS • Résolution de problèmes ccnp_cch
Introduction Configuration ccnp_cch Cet exemple de configuration montre comment configurer le pare-feu PIX pour un accès à un serveur Mail situé sur le réseau interne. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: ● PIX Firewall 535 ● PIX Firewall software release 7.1(1) ● Cisco 2600 router Configuration Dans cette section sont présentées les informations nécessaires pour configurer les fonctionnalités décrites dans ce document. Schéma du réseau 192.168.2.1/24 192.168.1.1/24 209.164.3.2/30 192.168.1.2/24 209.164.3.1/30 Serveur Mail 192.168.2.57/24 209.164.3.5/30 PIX Routeur B Routeur A Inside Outside LAN 192.168.2.0/24 FAI ccnp_cch
Configurations ccnp_cch PIX PIX Version 7.1(1) ! hostname pixfirewall enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0 shutdown no nameif no security−level no ip address interface Ethernet1 interface Ethernet2 !−−− Define the IP address for the inside interface. interface Ethernet3 nameif inside security−level 100 ip address 192.168.1.1 255.255.255.0 !−−− Define the IP address for the outside interface. interface Ethernet4 nameif outside security−level 0 ip address 209.164.3.1 255.255.255.252 interface Ethernet5 passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive ccnp_cch
!−−− Crée une liste d'accès qui permet le trafic SMTP (Simple Mail !--- Transfer Protocol de toute source vers le host 209.164.3.5. !−−− Le nom de cette liste d'accès est smtp. !−−− Note: Il y a une seule liste d'accès autorisée par sens et !−−− par interface. access−list smtp extended permit tcp any host 209.164.3.5 eq smtp pager lines 24 mtu inside 1500 mtu outside 1500 no failover no asdm history enable arp timeout 14400 !−−− Spécifie que tout trafic qui est issu du réseau interne !−−− 192.168.2.x est traduit avec PAT vers 209.164.3.129 si !−−− le trafic passe à travers le pare-feu vers l'extérieur. global (outside) 1 209.164.3.129 nat (inside) 1 192.168.2.0 255.255.255.0 !−−− Définit une traduction statique entre 192.168.2.57 sur le !−−− réseau interne vers 209.164.3.5 sur l'extérieur. static (inside,outside) 209.164.3.5 192.168.2.57 netmask 255.255.255.255 !−−− Applique la liste d'accès nommée smtp en entrée sur !--- l'interface externe. access−group smtp in interface outside !−−− Indique au PIX de passer tout trafic destiné au réseau !−−− 192.168.x.x vers le routeur à l'adresse 192.168.1.2. route inside 192.168.0.0 255.255.0.0 192.168.1.2 1 !−−− Fixe la route par défaut vers 209.164.3.2. !−−− Le PIX suppose que cette adresse est l'adresse du routeur. route outside 0.0.0.0 0.0.0.0 209.164.3.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp−pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute no snmp−server location no snmp−server contact snmp−server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! class−map inspection_default match default−inspection−traffic ccnp_cch
ccnp_cch !−−− SMTP/ESMTP est inspecté avec "inspect esmtp" et inclus !--- dans la map. policy−map global_policy class inspection_default inspect dns maximum−length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service−policy global_policy global Cryptochecksum:f96eaf0268573bd1af005e1db9391284 : end Routeur B Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password−encryption hostname 2522−R5 enable secret 5 $1$N0F3$XE2aJhJlCbLWYloDwNvcV. ip subnet−zero interface Ethernet0 !−−− Fixe l'adresse IP de l'interface Ethernet à 209.164.3.2. ip address 209.164.3.2 255.255.255.252 interface Serial0 !−−− Indique l'interface serial doit utiliser l'adresse IP !−−− de l'interface Ethernet. ip unnumbered ethernet 0 ccnp_cch
Configuration ESMTP TLS interface Serial1 no ip address no ip directed−broadcast ! ip classless !−−− Indique au routeur de transmettre tout le trafic destiné !−−− au réseau 209.164.3.x vers 209.164.3.1. ip route 209.164.3.0 255.255.255.0 209.164.3.1 !−−− Indique au routeur de transmettre tout le reste du trafic !−−− en sortie vers l'interface 0. ip route 0.0.0.0 0.0.0.0 serial 0 line con 0 transport input none line aux 0 autoselect during−login line vty 0 4 exec−timeout 5 0 password ww login end Note: La configuration du routeur A n'est pas présentée. vous avez uniquement à donner des adresses IP aux interfaces et à configurer la passerelle par défaut à 192.168.1.1 qui est l'interface interne du pare-feu PIX. Configuration ESMTP TLS Note: si vous utilisez le cryptage TLS (Transport Layer Security) pour la communica- tion e-mail, la fonctionnalité d'inspection ESMTP (validée par défaut dans le PIX) éli- mine ces paquets. Pour autoriser les mail avec TLS, dévalidez l'inspection ESMTP comme le montre les commandes suivantes: pix(config)#policy−map global_policy pix(config−pmap)#class inspection_default pix(config−pmap−c)#no inspect esmtp pix(config−pmap−c)#exit pix(config−pmap)#exit ccnp_cch
Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des problèmes liés à votre configuration. Commandes pour résolution de problèmes ● logging console debugging - Cette commande dirige les messages debug vers la console. Si la connectivité avec le serveur mail pose problème, examinez les mes- sages à la console pour localiser les adresses IP des stations émettrices et récep- trices pour essayer de localiser le problème. ccnp_cch