Stručný popis konfigurace:
port 1: WAN s ip adresou 123.45.67.89 255.255.255.0
port 2: LAN s ip adresou 192.168.1.1 255.255.255.0
Popis:
- provádět NAT z LAN do WAN
- povolit komunikaci do Internetu pro http/https a FTP
- zaheslovat firewall
- povolení přístupu na firewall
Přihlášení skrz SSH na CONSOLE port
enable
configure terminal
zaheslováníenable password cisco level 15
passwd cisco
vytvoření privilegovaného uživatele pro vzdálenou administraciuser cisco password cisco privilege 15
další nastavení chování firewallu
ssh timeout 60
logging enable
logging timestamp
logging buffer-size 512000
logging buffered debugging
no call-home reporting anonymous
prompt hostname context
hostname asa5506
domain-name firma.cz
nastavení přesného času
ntp server 217.31.205.226 source outside prefer
konfigurace WAN rozhraníinterface GigabitEthernet1/1
description to WAN
nameif outside
security-level 0
ip address 123.45.67.89 255.255.255.0
no shutdown
exit
default gateway pro WAN rozhraníroute outside 0.0.0.0 0.0.0.0 123.45.67.1
konfigurace LAN rozhraní
interface GigabitEthernet1/2
description to LAN
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
průchodnost síťového provozusame-security-traffic permit inter-interface
same-security-traffic permit intra-interface
vytvoření NATnat (inside,outside) after-auto source dynamic any interface
povolení přístupu pro administraci firewallu pro SSH a web prohlížeč
http 192.168.1.0 255.255.255.0 inside
ssh 192.168.1.0 255.255.255.0 inside
povolení (zakázání) komunikace ze sítě LAN do sítě WAN (Internet)object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list inside_access_in_1 line 1 extended permit tcp any any eq http
access-list inside_access_in_1 line 2 extended permit tcp any any eq https
access-list inside_access_in_1 line 3 extended permit tcp any any eq ftp
access-list inside_access_in_1 line 4 extended deny object-group TCPUDP any any
access-list inside_access_in_1 line 5 extended deny ip any any
Přihlášení skrz SSH na CONSOLE port
enable
configure terminal
zaheslováníenable password cisco level 15
passwd cisco
vytvoření privilegovaného uživatele pro vzdálenou administraciuser cisco password cisco privilege 15
další nastavení chování firewallu
ssh timeout 60
logging enable
logging timestamp
logging buffer-size 512000
logging buffered debugging
no call-home reporting anonymous
prompt hostname context
hostname asa5506
domain-name firma.cz
nastavení přesného času
ntp server 217.31.205.226 source outside prefer
konfigurace WAN rozhraníinterface GigabitEthernet1/1
description to WAN
nameif outside
security-level 0
ip address 123.45.67.89 255.255.255.0
no shutdown
exit
default gateway pro WAN rozhraníroute outside 0.0.0.0 0.0.0.0 123.45.67.1
konfigurace LAN rozhraní
interface GigabitEthernet1/2
description to LAN
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
no shutdown
exit
průchodnost síťového provozusame-security-traffic permit inter-interface
same-security-traffic permit intra-interface
vytvoření NATnat (inside,outside) after-auto source dynamic any interface
povolení přístupu pro administraci firewallu pro SSH a web prohlížeč
http 192.168.1.0 255.255.255.0 inside
ssh 192.168.1.0 255.255.255.0 inside
povolení (zakázání) komunikace ze sítě LAN do sítě WAN (Internet)object-group protocol TCPUDP
protocol-object udp
protocol-object tcp
access-list inside_access_in_1 line 1 extended permit tcp any any eq http
access-list inside_access_in_1 line 2 extended permit tcp any any eq https
access-list inside_access_in_1 line 3 extended permit tcp any any eq ftp
access-list inside_access_in_1 line 4 extended deny object-group TCPUDP any any
access-list inside_access_in_1 line 5 extended deny ip any any
Žádné komentáře:
Okomentovat