08-05-2013 11:11 AM - edited 03-11-2019 07:21 PM
Galera,
Boa tarde!
No FWSM quando vou realizar um NAT para que um servidor tenha acesso a internet através do FWSM faço o seguinte:
Informações
Sequencia: SERVIDOR --> FWSM --> INTERNET
Interface Internet: TESTE
Rede Interna: 172.30.30.10
Interface Externa: DMZ-PUBLICA
Rede Externa: 200.200.200.10
Configuração:
access-list TESTE extended permit tcp host 172.30.30.10 any eq 80
access-list TESTE extended permit tcp host 172.30.30.10 any eq 443
access-list TESTE extended permit icmp host 172.30.30.10 any
access-list TESTE-EXTERNO extended permit tcp host 172.30.30.10 any eq 80
access-list TESTE-EXTERNO extended permit tcp host 172.30.30.10 any eq 443
access-list TESTE-EXTERNO extended permit icmp host 172.30.30.10 any
nat (TESTE) 10 access-list TESTE-EXTERNO
global (DMZ-PUBLICA) 10 200.200.200.10
A questão seria que tenho que criar a access-list TESTE e TESTE-EXTERNO para funcionar. O problema é que desta forma a porta 80 e 443 fica liberado para qualquer rede pois se eu tiver por exemplo as linhas abaixo:
access-list TESTE extended permit tcp host 172.30.30.50 any eq 80
static (REDE-X,TESTE) 192.168.10.10 192.168.10.10 netmask 255.255.255.255
Desta forma eu gostaria que somente o IP 172.30.30.50 tenha acesso no IP 192.168.10.10 na porta 80, mas devido a eu ter adicionado as linhas do IP 172.30.30.10 para acessar a Internet na porta 80, ele também irá conseguir acessar o IP 192.168.10.10.
Teria outra forma de fazer NAT para a Internet de forma que seja mais seguro as liberações?
Obrigado!
Abraços,
Anderson.
08-13-2013 04:49 AM
Anderson,
Em teoria a regra "access-list TESTE extended permit tcp host 172.30.30.10 any eq 80" não deveria ter qualquer influencia nos acessos do IP 172.30.30.50 uma vez que a regra está explicitamente permitindo apenas conexões com IP de origem 172.30.30.10.
Se você precisa de um maior controle sobre os destinos a que um host pode acessar através das portas 80 e 443, ou qualquer outra, você pode atingir este propósito substituindo a opção "any" pela rede ou host de destino.
Por exemplo, se você quer permitir que o host 172.30.30.10 tenha acesso somente ao destino 200.200.1.1 nas portas 80 e 443 você pode configurar as ACL da seguinte forma:
access-list TESTE extended permit tcp host 172.30.30.10 host 200.200.1.1 eq 80
access-list TESTE extended permit tcp host 172.30.30.10 host 200.200.1.1 eq 443
Mais informações podem ser obtidas no link:
http://www.cisco.com/en/US/docs/security/fwsm/fwsm41/configuration/guide/traffc_f.html#wp1047858
Atenciosamente,
Bruno Botta.
08-13-2013 05:06 AM
Bruno,
Obrigado pela atenção, mas o que quis dizer é o seguinte:
Por exemplo: Liberar o IP 172.30.30.10 para ter acesso a Internet na porta 80 e 443 saindo para a Internet com o IP 200.200.200.10:
#Configuração:
access-list TESTE extended permit tcp host 172.30.30.10 any eq 80
access-list TESTE extended permit tcp host 172.30.30.10 any eq 443
access-list TESTE-EXTERNO extended permit tcp host 172.30.30.10 any eq 80
access-list TESTE-EXTERNO extended permit tcp host 172.30.30.10 any eq 443
nat (TESTE) 10 access-list TESTE-EXTERNO
global (DMZ-PUBLICA) 10 200.200.200.10
Até ai tudo bem. Agora imagine que quero que o IP 172.30.30.50 acesse o IP de outra rede interna minha 192.168.10.50 na porta 80, ficaria assim:
access-list TESTE extended permit tcp host 172.30.30.50 host 192.168.10.50 eq 80
static (REDE-X,TESTE) tcp 192.168.10.10 80 192.168.10.10 80 netmask 255.255.255.255
Ai que vem o problema, por que com estas regras o que vai acontecer, o IP 172.30.30.10 também vai ter acesso ao IP 192.168.10.10 na porta 80, pois ele, por precisar de acessar qualquer coisa na internet na porta 80, que seria o "any", vai também conseguir acessar o IP 192.168.10.10 na porta 80 pois esta na mesma rede do 172.30.30.50.
A minha dúvida seria se existe outra forma para que o IP 172.30.30.10 acesse a internet na porta 80 e 443 mas que não tenha acesso ao IP 192.168.10.10 na porta 80.
Poderia colocar assim também:
access-list TESTE extended permit tcp host 172.30.30.50 host 192.168.10.50 eq 80
access-list TESTE extended deny tcp host 172.30.30.10 host 192.168.10.50 eq 80
static (REDE-X,TESTE) tcp 192.168.10.10 80 192.168.10.10 80 netmask 255.255.255.255
Mas imagine se tiver que colocar um "deny" para varios IPs da minha rede, não seria viável.
Existe alguma outra forma de eu conseguir fazer um NAT para um IP sair para a Internet mas ao mesmo tempo não permitir que acesse outros IPs como no caso apresentado?
Muito obrigado!
08-13-2013 05:51 AM
Olá Anderson,
Obrigado pela sua resposta!
Gostaria de somente dizer que na sua configuração acima está explícita, a regra está sendo criada para um host específico "access-list TESTE extended permit tcp host 172.30.30.50 host 192.168.10.50 eq 80" liberando a porta 80. E não está sendo liberado toda a rede 172.30.30.X.
Ou seja, nesta situação o tráfego para porta 80, será liberado somente para o "host" e não para todos os endereços desta mesma rede.
Veja as considerações no link abaixo:
Controlling Network Access for IP Traffic (Extended):
http://www.cisco.com/en/US/docs/security/fwsm/fwsm22/configuration/guide/mngacl.html#wp1235112
"Extended ACLs control connections based on source address, destination address, protocol, or port. The FWSM does not allow any traffic through unless it is explicitly permitted by an extended ACL."
Entendo que se você estivesse liberando na sua ACL toda a rede 172.30.30.X., aí sim estaria com a porta 80 liberada para os outros endereços pertencentes a esta rede.
Um Abraço,
Bruno Botta.
08-13-2013 06:02 AM
Olá Anderson,
Eu vi que você postou a sua dúvida no Forúm do CSC - Cisco Support Community Internacional.
Somente para seu conhecimento, nós também temos o CSC em Português, e lá você poderá ter uma mais interação com outros usuário em português e também obter uma resposta mais rápida para seus questionamentos.
Segue o link do CSC em Português.
https://supportforums.cisco.com/community/portuguese/seguranca
Um Abraço,
Bruno Botta.
Find answers to your questions by entering keywords or phrases in the Search bar above. New here? Use these resources to familiarize yourself with the community: