Cisco firewall - ADSM

 

managerPC---(vmnet1)----fa0/1 R1 fa0/0-----------e0 fw e1----------fa0/0 R2

192.168.10.0 192.168.11.0/24 200.10.10.0/24

  10.128 10.254   11.253 11.254  10.253   10.254

 

[ip address]

WInXP : 192.168.10.128 /24  , gw 192.168.10.254

R1 fa0/1 : 192.168.10.254/24

R1 fa0/0 : 192.168.11.253/24  ,  gw 192.168.11.254

fw e0 : 192.168.11.254/24

fw e1 : 200.10.10.253/24 ,  gw 200.10.10.254(defaulte route)

R2 fa0/0 : 200.10.10.254/24

 

 

1.부팅시

show run 확인후 default MPF(mudoular policy framework)가 없는 경우 

pix#write erase

dynagen=> reload fw

초기화 하고 재부팅한다.

 

 

2. activation-key 입력한다. (activation-key.txt파일 참조)

 단, fw.net 파일의 serial number에 해당하는 activation-key값을 사용해야함.

 

  pix#show version

했을때 activation-key값이 0x00000000 인경우 key값 입력 필요.

  pix#conf t

  pix(config)#activation-key 0x 0x 0x 0x

 

  dyangen=> reload fw  (재부팅함)

 

  pix#show version

activation-key 값이 들어가고. 여러 기능들이 enabed활성화 된것을 확인 가능.

 

 

3. pix 접속 후, "Inside" interface 설정

pix$ en

  conf t

  int e 0

   nameif Insie

(자동 security-leve 100)

   ip address 192.168.11.254 255.255.255.0

   no shutdown

   exit

   router ospf 1

    network 192.168.11.0 255.255.255.0 area 0

   end

 show int ip brief

 show ospf nei

 show route

 

 

4. R1, R2 설정 (routing protocol: OSPF)

!R1 설정

hostname R1_IN

!

boot-start-marker

boot-end-marker

!

enable secret 5 $1$U8By$mptqyq3Z4ybyHSfrCIWQV0

!

no aaa new-model

ip subnet-zero

!

!

no ip domain lookup

!

ip cef

ip audit po max-events 100

!         

!

!

!

!

!

!

!

!

!

!

!

!

!

! 

!

!

!

!

interface FastEthernet0/0

 ip address 192.168.11.253 255.255.255.0

 no shutdown

 duplex auto

 speed auto

!         

interface FastEthernet0/1

 ip address 192.168.10.254 255.255.255.0

 no shutdown

 duplex auto

 speed auto

!

router ospf 1

 log-adjacency-changes

 network 192.168.10.0 0.0.0.255 area 0

 network 192.168.11.0 0.0.0.255 area 0

!

ip http server

no ip http secure-server

ip classless

!

!

!

!

!

!

!

!

!

!         

!

!

line con 0

 exec-timeout 0 0

 logging synchronous

line aux 0

line vty 0 4

 password cisco

 login

!

!

end

 

 

!R2설정

en

conf t

enable secret cisco

no ip domain-lookup

 

line console 0

 logging syn

 exec-timeout 0 0

 exit

line vty 0 4

 password cisco

 login

exit

hostname R2-Out

int fa0/0

 ip address 200.10.10.254 255.255.255.0

 no shutdown

end

 

 

 

 

5. vmnet1을 R1 fa0/1에 연동되어있음.

  vmware에 winxp 이미지를 VMnet1 ( 192.168.10.0 )으로 부팅.

 

  이더넷카드 : ip 192.168.10.128

mask 255.255.255.0

gw 192.168.10.254

 

  gateway와 tftp client(pix)로 ping test

 

  pc는 tftp server가 될 예정이다. tftp 서버 설치 후 작동

  tftp working directory에 asdm-625.bin를 위치한다.

  tftp client가 접속후 down 가능하도록.

 

 

6. asdm 이미지를 pix로 이동하기.

 

tftp server : 192.168.10.128 (win xp)

tftp client : 192.168.11.254 (Pix)

 

asdm 이미지를 tftp로 pix로 이동.

 

PC C:\> ifconfig /all   

 ping 192.168.11.254  (tftp server와 client통신확인)

 

pix# ping 192.168.10.128

pix# copy tftp://192.168.10.128/asdm-625.bin flash:

  tftp server ip address 및 전송 파일명 확인

  !!!!!전송시작.

  전송 끝나면 prompt 뜸.

pix# dir

전송된 asdm-625.bin확인

 

 

7. asdm접속을 위한 설정

pix(config)#http 192.168.10.0 255.255.255.0 Inside

http server enable

  asdm image flash:/asdm-625.bin

username admin password admin

 

8. pix manager PC인 win xp에서 java 설치.

  웹 브라우저에서 https://192.168.11.254 로 접근

  "Cisco ASDM-IDM Launcher" 설치후 pix접속 ip주소, 사용자 계정, 비밀번호입력후

  pix에 asdm으로 접근 가능.

 

 

* asdm으로 pix에 접근하여 interface, routing acl 등을 설정해보자.

 

9. interface e1 설정

 nameif : Outside

 ip : 200.10.10.253/24

 활성화

 

10. routing 설정

 ospf는 이미 작동중.

 pix가 R2를 default gateway되어야함.

 static route 설정 : 0.0.0.0/0  (gw. 200.10.10.254)

 pix가 R1에게 default 정보를 ospf로 전달해야함

 asdm에서 설정안됨 CLI로 설정해야함

 PIX(config)# router ospf 1

 PIX(config-router)# default-information originate

 

 asdm으로 돌아와서 refalsh 할것.

 

11. nat 설정

 192.168.10.0 또는 0.0.0.0(any)가 외부망으로 나갈때 PIX Outside 인터페이스

 주소로 nat(pat)되어 통신이 가능토록 할것.

 

 asdm : firewal - nat 또는 CLI

 

 pix(config)# nat (Inside) 1 0.0.0.0 0.0.0.0

 pix(config)# global (Outside) 1 interface

 

 dynagen=> capture r2 fa0/0 nat.pcap  (패킷캡쳐시작)

 

 pc에서 R2로 ping

  c:\> ping 200.10.10.254

 

 pix확인 pix#show xlate

  1 in use, 2 most used

  PAT Global 200.10.10.253(1) Local 192.168.10.128 ICMP id 512 

 

 dynagen working directory에서 nat.pcap 파일을 열어서 확인할것.

 ping은 가지 않으나, nat은 되어짐.

 ping이 안가는 이유는 inspect에 icmp 가 허용되지않기 때문.

 

 -> inspect에 icmp 허용할것.

 asdm -> fiewall - service policy ruels - inspection_default 수정

   - reul actions 탭에서 icmp 체크 후 ok - apply 

 그리고 다시 xp에서 ping 200.10.10.254 로 하면 ok.

 

필요한 inspect에 추가함으로 service 가능함.