Date post: | 30-Jul-2015 |
Category: |
Documents |
Upload: | jhonatanreyes |
View: | 1,150 times |
Download: | 5 times |
Jhonatan Reyes
Julian Cardenas
Configuración de firewall ASA en GNS3
Configuración de firewall ASA en gns3
Topologia
El primer paso para empezar a configurar los equipos es subir los IOS de el router 3600 y del firewall ASA con su kernel. Seguimos los pasos en las imaganes
En el menú Qemu vamos a la pestaña ASA y subimos el kernel, asa802-k8.initrd y vmlinuz.bin Guardamos los cambios y damos aceptar
Ahora subiremos el IOS del router 3600 que en este caso actuara como servidor web
Subimos el IOS c3640-jk9s-mz.124-16.image, guardamos cambios y aceptamos
Damos click derecho sobre el firewall ASA y prendemos el dispositivo, y abriremos la consola del mismo, digitaremos los siguientes comandos para iniciarlo.Cd /mnt/disk0/mnt/disk0/lina_monitor
Ahora configuraremos los interfaces INSIDE, DMZ y OUTSIDE
Este es el router que esta en la DMZ Ahora vamos a los dos routers que actuaran como servidores web y configuramos sus
interfaces y los servicios HTTP y HTTPS http con el comando: ip http server https con el comando: ip http secure-server
hacemos los mismo en el router que se encuentra en la OUTSIDE, con su respectiva dirección IP y los mismos servicios
volvemos a el firewall ASA y configuramos las listas de acceso permitiremos que el cliente que se encuentra en la interfaz INSIDE pueda acceder a los
servicios del servidor web de la interfaz DMZ además del servicio SSH, y permitiremos que pueda consultar el servidor web de la interfaz OUTSIDECon los siguientes comandos en modo de configuración global
Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 host 192.168.20.20 eq www
Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 host 192.168.20.20 eq https
Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 host 192.168.20.20 eq ssh
Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 any eq www
Access-list 101 extended deny ip any any
Después de haber permitido todos los servicios a este cliente denegamos todo lo demásAquí se muestra el resultado del comando show Access-list
despues aplicamos la lista de acceso en la interfaz INSIDE con el comandoaccess-group 101 in interface insideeste es el resultado del comando show running-config access-group
en la segunda lista de acceso permitiremos el acceso de cualquier host desde la interfaz OUTSIDE hasta el servidor https ubicado en la interfaz DMZ
Access-list 102 extended permit tcp any host 1.1.1.1 eq https
Access-list 102 extended deny ip any any
aplicamos la lista de acceso sobre la interfaz OUTSIDE
access-group 102 in interface outside
ahora configuraremos NAT para que el servidor web de la DMZ sea visto desde la interfaz OUTSIDE con una ip publica y además para que los clientes de la interfaz INSIDE salgan a la interfaz OUTSIDE o internet con un rango de ip’s publicas
comando para que el servidor web sea visto con la ip 1.1.1.1
Static (dmz,outside) 1.1.1.1 192.168.20.20 netmask 255.255.255.255
Dmz es la interfaz donde está el servidor y outside donde se recibirán las peticiones para la ip 1.1.1.1
resultado del comando show nat
comando para que los clientes salgan a la interfaz con el rango de ip’s 2.2.2.2 hasta 2.2.2.10
global (outside) 1 2.2.2.2-2.2.2.10 netmask 255.255.255.0