Siguiente: Listas de control de
Subir: PIX Firewall
Anterior: Interfaces de red
Índice General
Para conseguir excepciones a las reglas de funcionamiento del adaptive
security algorithm se utilizan los comandos nat y static; la
orden nat permite que una interfaz de mayor seguridad pueda acceder a uno
de menor, mientras que static hace justo lo contrario.
Para cada interfaz de mayor nivel de seguridad que quiera acceder a una de
menor nivel hemos de ejecutar la orden nat:
dixie(config)# nat (dmz) 0 0.0.0.0 0.0.0.0
dixie(config)# sh nat
nat (dmz) 0 0.0.0.0 0.0.0.0 0 0
pixie(config)#
La orden anterior indica que el interfaz dmz accederá sin realizar
NAT (el primer `0'), aplicando esto a todas las máquinas de la
subred conectada a ese interfaz: los dos grupos `0.0.0.0' representan la
dirección y la subred, respectivamente, de los equipos a los que permitimos
la salida; si sólo quisiéramos que una de las máquinas conectada al
interfaz dmz accediera a segmentos de menor prioridad, pondríamos
su dirección IP y su máscara (255.255.255.255).
Si lo que queremos es permitir el acceso desde un interfaz de menor nivel de
seguridad a uno de mayor ejecutaremos la orden static, que tiene la
sintaxis siguiente:
static (if_interna,if_externa) dir_destino dir_destino netmask mascara
El hecho de que aparezca por duplicado la dirección destino de la máquina
que estamos `publicando' al exterior es porque, al ejecutar la orden nat,
hemos decidido no hacer NAT real; si lo estuviéramos haciendo, en lugar
de la dirección destino utilizaríamos en primer lugar la dirección
que le damos a la máquina hacia el exterior (típicamente, una IP
pública) y en segundo la dirección que tiene el equipo dentro de la red a
la que está directamente conectado (una privada).
De esta forma, si lo que queremos es que desde toda Internet (interfaz outside) se pueda acceder a nuestro servidor de correo POP3, en la
máquina 158.42.22.41 (por ejemplo, dentro del interfaz dmz),
ejecutaríamos en primer lugar la siguiente orden:
dixie(config)# static (dmz,outside) 158.42.22.41 158.42.22.41
netmask 255.255.255.255
dixie(config)# sh static
static (dmz,outside) 158.42.22.41 158.42.22.41 netmask 255.255.255.255 0 0
dixie(config)#
Con el comando anterior nos limitamos a `publicar' la dirección de una
máquina protegida por el PIX firewall al resto de Internet; pero esto
no significa que ya se pueda acceder a ese sistema: tras la orden static,
es necesario habilitar listas de control de acceso a los diferentes servicios de
la dirección que hemos publicado, y asociar dichas listas de control a la
interfaz correspondiente; si por ejemplo el acceso necesitado es SMTP,
ejecutaríamos la siguiente orden:
dixie(config)# access-list prueba permit tcp any host 158.42.22.41
eq smtp
dixie(config)# access-group prueba in interface outside
dixie(config)#
Como vemos, asociamos la lista de control a la interfaz de entrada del
tráfico, no a la que está conectada la máquina. El tema de las
listas de control de acceso es el que vamos a ver en el punto siguiente.
Siguiente: Listas de control de
Subir: PIX Firewall
Anterior: Interfaces de red
Índice General
2003-08-08