Netasq F100 vers pix 515

Seb · Visiteur Inscrit le: 17 Oct 2003 Messages: 10 Localisation: France

Bonjour a tous
Voila mon souci, actuellement dans mon entreprise nous utilisons un firewall netasq qui nous permet de faire du filtrage d'url des translations d'adresse etc etc, tout ca grace a l'interface graphique tres facile d'acces. Aujourd'hui nous avons mis en place un pix 515 afin de remplacer le netasq et de faire du vpn. pour la partie vpn nous avons réussie a la faire fonctionner par contre pour le reste cet a dire filtrage, translation, gestion des ports, c'est un peu plus difficile. Tout d'abord je voulais savoir si tout est realisable a partir de l'interface graphique si oui pouvez vous m'indiquez en gros la ou je dois m'orienter et si il vaut mieux le faire en ligne de commande, dans ce cas me donner les commandes les plus utilisiées avec leurs fonctions. D'avance merci

papaye · Posté le: Ven Oct 17, 2003 4:41 pm Sujet du message:

Bonjour

Pour ce qui est d'utiliser le pdm (comprenez l'application java editée pour le pix), je ne suis pas sur que se soit la meilleure solution pour comprendre comment fonctionne un pix 515. Celui-ci permet toutefois de faire à peu pres ce qu'on veut, sous reserve de ne pas etre trop regardant du reste.

Pour ma part, comme bon nombre, j'utilise la CLI (comprendre : commande line interface) qui est beaucoup plus interressant.

Le nat:

2 types ( dynamique (PAT) ou statique )

pour faire sortir un pool de machine sur 1 adresse ip :

en mode conf terminal

global (outside) 10 ip_public

nat (inside) 10 10.1.0.0 255.255.0.0 0 0

veut dire que l'on nat la classe d'ip 10.1.0.0 255.255.0.0 sur l'adresse publique par le marqueur 10 (numero a definir au choix)

pour mapper une machine en dmz de façon statique sur l'outside :

static (DMZ,outside) ip_public 192.168.1.1 netmask 255.255.255.255 0 0

la gestion des permissions (ports):

il faut definir des access-list et l'appliquer à l'interface en question :

definition des interfaces :

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 DMZ security50

definition de l'ip de chaque interface

ip address outside ip_outside netmask
ip address inside 10.1.1.250 255.255.0.0
ip address DMZ 192.168.1.250 255.255.255.0

definition d'une access-list (ici l'autorisation de faire du http sur notre machine natée en statique ci dessus)

access-list acl_outside permit tcp any host ip_public eq www

mise en place de la regle sur l'interface donnée

access-group acl_outside in interface outside

la gestion des url :

avec la commande filter url (liée au serveur websense => www.websense.com)

url-server (perimeter) host ip_host

filter url 80 0.0.0.0

filtre toutes les ip sur le port 80

filter url except 10.0.2.54 255.255.255.255 0 0

declenche une exception de filtrage pour le 10.0.2.54

Voila, en gros l'orientation à prendre

Pour plus de details visitez le site www.cisco.com qui est tres bien fait.

papaye

Seb · Posté le: Jeu Oct 23, 2003 3:47 pm Sujet du message:

Merci beaucoup pour la reponse , ca va me permettre d'avancez sur la config