Buy or Renew
Buy or Renew
Duo Security forums now LIVE! Get answers to all your Duo Security questions. Learn more
cancel
Turn on suggestions
Auto-suggest helps you quickly narrow down your search results by suggesting possible matches as you type.
Showing results for 
Search instead for 
Did you mean: 
cancel
Start a conversation
872
Views
0
Helpful
4
Replies

Regras - FWSM (NAT Internet)

Anderson Ribeiro
Level 1
Level 1

‎08-05-2013 11:11 AM - edited ‎03-11-2019 07:21 PM

Galera,

Boa tarde!

No FWSM quando vou realizar um NAT para que um servidor tenha acesso a internet através do FWSM faço o seguinte:

Informações

Sequencia:  SERVIDOR --> FWSM --> INTERNET

Interface Internet: TESTE

Rede Interna: 172.30.30.10

Interface Externa: DMZ-PUBLICA

Rede Externa: 200.200.200.10

Configuração:

access-list TESTE extended permit tcp host 172.30.30.10 any eq 80

access-list TESTE extended permit tcp host 172.30.30.10 any eq 443

access-list TESTE extended permit icmp host 172.30.30.10 any

access-list TESTE-EXTERNO extended permit tcp host 172.30.30.10 any eq 80

access-list TESTE-EXTERNO extended permit tcp host 172.30.30.10 any eq 443

access-list TESTE-EXTERNO extended permit icmp host 172.30.30.10 any

nat (TESTE) 10 access-list TESTE-EXTERNO

global (DMZ-PUBLICA) 10 200.200.200.10

A questão seria que tenho que criar a access-list TESTE e TESTE-EXTERNO para funcionar. O problema é que desta forma a porta 80 e 443 fica liberado para qualquer rede pois se eu tiver por exemplo as  linhas abaixo:

access-list TESTE extended permit tcp host 172.30.30.50 any eq 80

static (REDE-X,TESTE) 192.168.10.10 192.168.10.10 netmask 255.255.255.255

Desta forma eu gostaria que somente o IP 172.30.30.50 tenha acesso no IP 192.168.10.10 na porta 80, mas devido a eu ter adicionado as linhas do IP 172.30.30.10 para acessar a Internet na porta 80, ele também irá conseguir acessar o IP 192.168.10.10.

Teria outra forma de fazer NAT para a Internet de forma que seja mais seguro as liberações?

Obrigado!

Abraços,

Anderson.

Labels:
0 Helpful
4 Replies 4

Bruno Soares Moura Botta
Cisco Employee
Cisco Employee

‎08-13-2013 04:49 AM

Anderson,

Em teoria a regra "access-list  TESTE extended permit tcp host 172.30.30.10 any eq 80" não deveria ter qualquer  influencia nos acessos do IP 172.30.30.50 uma vez que a regra está  explicitamente permitindo apenas conexões com IP de origem  172.30.30.10.

Se você precisa de um maior controle sobre os destinos a  que um host pode acessar através das portas 80 e 443, ou qualquer outra, você  pode atingir este propósito substituindo a opção "any" pela rede ou host de  destino.

Por exemplo, se você quer permitir que o host 172.30.30.10 tenha  acesso somente ao destino 200.200.1.1 nas portas 80 e 443 você pode configurar  as ACL da seguinte forma:

access-list TESTE extended permit tcp host  172.30.30.10 host 200.200.1.1 eq 80

access-list TESTE extended permit tcp  host 172.30.30.10 host 200.200.1.1 eq 443

Mais informações podem ser  obtidas no link:

http://www.cisco.com/en/US/docs/security/fwsm/fwsm41/configuration/guide/traffc_f.html#wp1047858

Atenciosamente,

Bruno Botta.

0 Helpful

Anderson Ribeiro
Level 1
Level 1
In response to Bruno Soares Moura Botta

‎08-13-2013 05:06 AM

Bruno,

Obrigado pela atenção, mas o que quis dizer é o seguinte:

Por exemplo: Liberar o IP 172.30.30.10 para ter acesso a Internet na porta 80 e 443 saindo para a Internet com o IP 200.200.200.10:

#Configuração:

access-list TESTE extended permit tcp host 172.30.30.10 any eq 80

access-list TESTE extended permit tcp host 172.30.30.10 any eq 443

access-list TESTE-EXTERNO extended permit tcp host 172.30.30.10 any eq 80

access-list TESTE-EXTERNO extended permit tcp host 172.30.30.10 any eq 443

nat (TESTE) 10 access-list TESTE-EXTERNO

global (DMZ-PUBLICA) 10 200.200.200.10

Até ai tudo bem. Agora imagine que quero que o IP 172.30.30.50 acesse o IP de outra rede interna minha 192.168.10.50 na porta 80, ficaria assim:

access-list TESTE extended permit tcp host 172.30.30.50 host 192.168.10.50 eq 80

static (REDE-X,TESTE) tcp 192.168.10.10 80  192.168.10.10 80  netmask 255.255.255.255

Ai que vem o problema, por que com estas regras o que vai acontecer, o IP 172.30.30.10 também vai ter acesso ao IP 192.168.10.10 na porta 80, pois ele, por precisar de acessar qualquer coisa na internet na porta 80, que seria o "any", vai também conseguir acessar o IP 192.168.10.10 na porta 80 pois esta na mesma rede do 172.30.30.50.

A minha dúvida seria se existe outra forma para que o IP 172.30.30.10 acesse a internet na porta 80 e 443 mas que não tenha acesso ao IP 192.168.10.10 na porta 80.

Poderia colocar assim também:

access-list TESTE extended permit tcp host 172.30.30.50 host 192.168.10.50 eq 80

access-list TESTE extended deny tcp host 172.30.30.10 host 192.168.10.50 eq 80

static (REDE-X,TESTE) tcp 192.168.10.10 80  192.168.10.10 80  netmask 255.255.255.255

Mas imagine se tiver que colocar um "deny" para varios IPs da minha rede, não seria viável.

Existe alguma outra forma de eu conseguir fazer um NAT para um IP sair para a Internet mas ao mesmo tempo não permitir que acesse outros IPs como no caso apresentado?

Muito obrigado!


0 Helpful

Bruno Soares Moura Botta
Cisco Employee
Cisco Employee
In response to Anderson Ribeiro

‎08-13-2013 05:51 AM

Olá Anderson,

Obrigado pela sua resposta!

Gostaria de somente dizer que na sua configuração acima está explícita, a regra está sendo criada para um host específico "access-list TESTE extended permit tcp host 172.30.30.50 host 192.168.10.50 eq 80" liberando a porta 80. E não está sendo liberado toda a rede 172.30.30.X.

Ou seja, nesta situação o tráfego para porta 80, será liberado somente para o "host" e não para todos os endereços desta mesma rede.

Veja as considerações no link abaixo:

Controlling Network Access for IP Traffic (Extended):

http://www.cisco.com/en/US/docs/security/fwsm/fwsm22/configuration/guide/mngacl.html#wp1235112

"Extended ACLs control connections based on source address, destination address, protocol, or port. The FWSM does not allow any traffic through unless it is explicitly permitted by an extended ACL."

Entendo que se você estivesse liberando na sua ACL toda a rede 172.30.30.X., aí sim estaria com a porta 80 liberada para os outros endereços pertencentes a esta rede.

Um Abraço,

Bruno Botta.

0 Helpful

Bruno Soares Moura Botta
Cisco Employee
Cisco Employee
In response to Bruno Soares Moura Botta

‎08-13-2013 06:02 AM

Olá Anderson,

Eu vi que você postou a sua dúvida no Forúm do CSC - Cisco Support Community Internacional.

Somente para seu conhecimento, nós também temos o CSC em Português, e lá você poderá ter uma mais interação com outros usuário em português e também obter uma resposta mais rápida para seus questionamentos.

Segue o link do CSC em Português.

https://supportforums.cisco.com/community/portuguese/seguranca

Um Abraço,

Bruno Botta.

0 Helpful
Getting Started

Find answers to your questions by entering keywords or phrases in the Search bar above. New here? Use these resources to familiarize yourself with the community:

Customers Also Viewed These Support Documents
Review Cisco Networking products for a $25 gift card