CISCO PIX 501

CISCO PIX FIREWALL - вещь весьма полезная и на этой страничке я подготовил коротенькую экскурсию для первоначального знакомства с ней. В этой коротенькой экскурсии предполагается, что вы либо еще вообще не держали в руках CISCO PIX FIREWALL, либо вам его только что принесли, и вы с удивлением рассматриваете это чудо технической мысли. (На фото оно в натуральную величину).

Самый трудный шаг для вас сейчас - понять зачем эта штука нужна и хоть как нибудь начать с ней работать. Как правило, это самый трудный этап. Дальше все будет легче. Именно для облегчения самого первого знакомства с этим чудо-прибором и была написана эта экскурсия.

Во-первых, с приборчиком идет компакт-диск с кучей полезно-бесполезной документации в PDF-формате на английском языке, от которой вы потеряете зрение, но так и ничего не сможете понять. Но знать состав этой документации надо. Кликнув здесь вы получите понятную таблицу всей документации. А кликнув дальше на каждой из ссылок, вы сможете загрузить каждую из книг на свой компец и дальше с садистским наслаждением гробить свои глаза и нервы.

Есть путь проще. Кликнув здесь вы сможете посмотреть подготовленное мною краткое описание мастера по настройке этой штуковины (Startup Wizard'a), из которого можно быстро понять для чего нужен этот прибор. А здесь я подробно описал как подключить этот прибор и перейти к этапу его настройки.

Кликнув здесь можно будет посмотреть все основные экраны управления операционной системы (точнее графического интерфейса PDM, транслирующего ваши кликанья мышкой в команды операционной системы CISCO PIX IOS). И наконец, тут можно просмотреть список команд CISCO PIX IOS в текстовом виде без графического интерфейса

Таким образом, разобравшись с управлением самим устройством, далее мы рассмотрим типичные стратегии его применения - выделение новых подсетей, особенности маршрутизации и т.д.

Учтите также, что методы применения CISCO PIX FIREWALL в России существенно отличаются от стандартных. Достаточно подметить одну деталь: само устройство стоит $500, при этом бесплатно в комплекте придается лицензия только на 10 компьютеров во внутренней подсети. А лицензия на 50 компьютеров будет стоить еще $600. Как правило, реальные сети еще больше - при этом бедность не позволяет тратить тысячи долларов на лицензии - и даже в самых больших сетях в России остается только бесплатная лицензия на 10 внутренних хостов.

Внимание, для всеобщего обозрения я выкладываю тут абсолютно полное ОПИСАНИЕ этой преполезнейшей штуковины в HTML-формате

Как и всякий фаервол, он изначально полностью закрыт как для входящего, так и для исходящего трафика. Поэтому тут я расскажу, как именно настроить этот агрегат. Считаем, что вы уже находитесь в PDM. И пытаетесь его настроить для домашней сети в качестве роутера на внешний айпишник. В этом случае необходимо сделать минимум три вещи: Настроить роутинг пакетов с внешнего интерфейса фаервора на шлюз провайдера. - Фактичести это правило равносильно настройке внешнего интерфейса. Настроить PAT - трансляцию всех внутренних адресов в порты на внешнем интерфейсе. - Фактически это является настройкой внутреннего интерфейса. Указать правила пропуска пакетов. Обратите внимание, что ВСЕ адреса обозначаются как нули, те в данном случае мы разрешили изнутри сети ходить в любые наружние адреса. Но скорее всего вам понадобится еше несколько вещей. Если вы коннектитесь к провайдеру по PPPOE, то вдолбить логин/пароль надо здесь. Я бы также порекомендовал скачать отсюда tftpd32, ну хотя бы для того, чтобы сохранить в него с цискаря свою конфигурацию. Кроме того, если вы поставите галку Enable Loggin - вести журнал, то получите журнал всех пакетов и журнал построения всех PAT-трансляций. Есть как бы еще одна часто выполняемая процедура для этого устройства - сброс пароля. Особенно это актуально, когда админов много. Как это сделать, описано тут - http://www.cisco.com/warp/public/110/34.shtml#intro

Поскольку CISCO очень закрытая организация и нацелена на выкачивание денег не меньше микрософта, то я также дам тут минимальнейшую, но рабочую конфигурацию PIX 501:

: Saved
: Written by admin at 12:40:04.375 UTC Thu Apr 10 2005
PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 9bGG8GMsfdY4xqeq5Hr encrypted
passwd 2KFQnbjkNIdI2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
name 192.168.0.0 Pix501_OUT
name 192.168.1.0 Pix501_IN
name 192.168.1.7 TrendNET
name 192.168.1.9 Main
access-list inside_access_in permit ip Pix501_IN 255.255.255.0 any 
pager lines 24
logging timestamp
logging console warnings
logging monitor warnings
logging buffered warnings
logging trap debugging
logging facility 16
logging host inside Main
interface ethernet0 10baset
interface ethernet1 10full
mtu outside 1500
mtu inside 1500
ip address outside 195.234.108.109 255.255.255.255 pppoe setroute
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location Main 255.255.255.255 inside
pdm location Pix501_IN 255.255.255.0 inside
pdm logging debugging 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 Pix501_IN 255.255.255.0 dns 0 0
access-group inside_access_in in interface inside
route outside 195.234.108.0 255.255.255.0 192.168.32.3 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
http server enable
http Pix501_IN 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
tftp-server inside Main /1.txt
floodguard enable
sysopt noproxyarp outside
sysopt noproxyarp inside
no sysopt route dnat
telnet timeout 5
ssh timeout 5
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname ZZZZZZZZZZZZ
vpdn group pppoe_group ppp authentication pap
vpdn username XXXXXXXXXXXX password YYYYYYYYYYYYYY
dhcpd address 192.168.1.31-192.168.1.62 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
username admin password 4lH9Bua11IxsskLxngZ encrypted privilege 15
terminal width 80
Cryptochecksum:03ec80e1e361737d09f7f78ceb0a00c6
: end

Разумеется это самое убогое применение этого агрегата, более ли менее его возможности будут задейстовованы в VPN-сетях, которые могут быть построены с использованием PIX в пяти конфигурациях:

Кроме того, в этой конфигурации я не описал как в PIX проковырять дырочку для доступа извне к димилитаризованной зоне (ну и множество других вещей, которые можно сделать с использованием этого брандмауэра).

Но надеюсь, эта моя заметка для первоначального знакомства была полезной. Удачи !

< THANKS ME>