Professional Documents
Culture Documents
El primer paso para empezar a configurar los equipos es subir los IOS de el router
3600 y del firewall ASA con su kernel. Seguimos los pasos en las imaganes
En el men Qemu vamos a la pestaa ASA y subimos el kernel, asa802-k8.initrd y vmlinuz.bin Guardamos los cambios y damos aceptar
Ahora subiremos el IOS del router 3600 que en este caso actuara como servidor web
Damos click derecho sobre el firewall ASA y prendemos el dispositivo, y abriremos la consola del mismo, digitaremos los siguientes comandos para iniciarlo. Cd /mnt/disk0 /mnt/disk0/lina_monitor
Este es el router que esta en la DMZ Ahora vamos a los dos routers que actuaran como servidores web y configuramos sus interfaces y los servicios HTTP y HTTPS http con el comando: ip http server https con el comando: ip http secure-server
hacemos los mismo en el router que se encuentra en la OUTSIDE, con su respectiva direccin IP y los mismos servicios
volvemos a el firewall ASA y configuramos las listas de acceso permitiremos que el cliente que se encuentra en la interfaz INSIDE pueda acceder a los servicios del servidor web de la interfaz DMZ adems del servicio SSH, y permitiremos que pueda consultar el servidor web de la interfaz OUTSIDE Con los siguientes comandos en modo de configuracin global
Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 host 192.168.20.20 eq www Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 host 192.168.20.20 eq https Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 host 192.168.20.20 eq ssh Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 any eq www Access-list 101 extended deny ip any any Despus de haber permitido todos los servicios a este cliente denegamos todo lo dems Aqu se muestra el resultado del comando show Access-list
despues aplicamos la lista de acceso en la interfaz INSIDE con el comando access-group 101 in interface inside este es el resultado del comando show running-config access-group
en la segunda lista de acceso permitiremos el acceso de cualquier host desde la interfaz OUTSIDE hasta el servidor https ubicado en la interfaz DMZ
Access-list 102 extended permit tcp any host 1.1.1.1 eq https Access-list 102 extended deny ip any any
ahora configuraremos NAT para que el servidor web de la DMZ sea visto desde la interfaz OUTSIDE con una ip publica y adems para que los clientes de la interfaz INSIDE salgan a la interfaz OUTSIDE o internet con un rango de ips publicas comando para que el servidor web sea visto con la ip 1.1.1.1
Static (dmz,outside) 1.1.1.1 192.168.20.20 netmask 255.255.255.255 Dmz es la interfaz donde est el servidor y outside donde se recibirn las peticiones para la ip 1.1.1.1 resultado del comando show nat
comando para que los clientes salgan a la interfaz con el rango de ips 2.2.2.2 hasta 2.2.2.10