Jhonatan Reyes

Julian Cardenas

Configuración de firewall ASA en GNS3

Configuración de firewall ASA en gns3

Topologia

El primer paso para empezar a configurar los equipos es subir los IOS de el router

3600 y del firewall ASA con su kernel. Seguimos los pasos en las imaganes

En el menú Qemu vamos a la pestaña ASA y subimos el kernel, asa802-k8.initrd y

vmlinuz.bin

Guardamos los cambios y damos aceptar

Ahora subiremos el IOS del router 3600 que en este caso actuara como servidor web

Subimos el IOS c3640-jk9s-mz.124-16.image, guardamos cambios y aceptamos

Damos click derecho sobre el firewall ASA y prendemos el dispositivo, y abriremos la

consola del mismo, digitaremos los siguientes comandos para iniciarlo.

Cd /mnt/disk0

/mnt/disk0/lina_monitor

Ahora configuraremos los interfaces INSIDE, DMZ y OUTSIDE

Este es el router que esta en la DMZ

Ahora vamos a los dos routers que actuaran como servidores web y configuramos sus

interfaces y los servicios HTTP y HTTPS

http con el comando: ip http server

https con el comando: ip http secure-server

hacemos los mismo en el router que se encuentra en la OUTSIDE, con su respectiva

dirección IP y los mismos servicios

volvemos a el firewall ASA y configuramos las listas de acceso

permitiremos que el cliente que se encuentra en la interfaz INSIDE pueda acceder a los

servicios del servidor web de la interfaz DMZ además del servicio SSH, y permitiremos

que pueda consultar el servidor web de la interfaz OUTSIDE

Con los siguientes comandos en modo de configuración global

Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 host 192.168.20.20 eq www

Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 host 192.168.20.20 eq https

Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 host 192.168.20.20 eq ssh

Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 any eq www

Access-list 101 extended deny ip any any

Después de haber permitido todos los servicios a este cliente denegamos todo lo

demás

Aquí se muestra el resultado del comando show Access-list

despues aplicamos la lista de acceso en la interfaz INSIDE con el comando

access-group 101 in interface inside

este es el resultado del comando show running-config access-group

en la segunda lista de acceso permitiremos el acceso de cualquier host desde la

interfaz OUTSIDE hasta el servidor https ubicado en la interfaz DMZ

Access-list 102 extended permit tcp any host 1.1.1.1 eq https

Access-list 102 extended deny ip any any

aplicamos la lista de acceso sobre la interfaz OUTSIDE

access-group 102 in interface outside

ahora configuraremos NAT para que el servidor web de la DMZ sea visto desde la

interfaz OUTSIDE con una ip publica y además para que los clientes de la interfaz

INSIDE salgan a la interfaz OUTSIDE o internet con un rango de ip’s publicas

comando para que el servidor web sea visto con la ip 1.1.1.1

Static (dmz,outside) 1.1.1.1 192.168.20.20 netmask 255.255.255.255

Dmz es la interfaz donde está el servidor y outside donde se recibirán las peticiones para la ip

1.1.1.1

resultado del comando show nat

comando para que los clientes salgan a la interfaz con el rango de ip’s 2.2.2.2 hasta

2.2.2.10

global (outside) 1 2.2.2.2-2.2.2.10 netmask 255.255.255.0