Configuracin de firewall ASA en GNS3

Jhonatan Reyes Julian Cardenas

Configuracin de firewall ASA en gns3 Topologia

El primer paso para empezar a configurar los equipos es subir los IOS de el router
3600 y del firewall ASA con su kernel. Seguimos los pasos en las imaganes

En el men Qemu vamos a la pestaa ASA y subimos el kernel, asa802-k8.initrd y vmlinuz.bin Guardamos los cambios y damos aceptar

Ahora subiremos el IOS del router 3600 que en este caso actuara como servidor web

Subimos el IOS c3640-jk9s-mz.124-16.image, guardamos cambios y aceptamos

Damos click derecho sobre el firewall ASA y prendemos el dispositivo, y abriremos la consola del mismo, digitaremos los siguientes comandos para iniciarlo. Cd /mnt/disk0 /mnt/disk0/lina_monitor

Ahora configuraremos los interfaces INSIDE, DMZ y OUTSIDE

Este es el router que esta en la DMZ Ahora vamos a los dos routers que actuaran como servidores web y configuramos sus interfaces y los servicios HTTP y HTTPS http con el comando: ip http server https con el comando: ip http secure-server

hacemos los mismo en el router que se encuentra en la OUTSIDE, con su respectiva direccin IP y los mismos servicios

volvemos a el firewall ASA y configuramos las listas de acceso permitiremos que el cliente que se encuentra en la interfaz INSIDE pueda acceder a los servicios del servidor web de la interfaz DMZ adems del servicio SSH, y permitiremos que pueda consultar el servidor web de la interfaz OUTSIDE Con los siguientes comandos en modo de configuracin global

Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 host 192.168.20.20 eq www Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 host 192.168.20.20 eq https Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 host 192.168.20.20 eq ssh Access-list 101 extended permit tcp 192.168.10.0 255.255.255.0 any eq www Access-list 101 extended deny ip any any Despus de haber permitido todos los servicios a este cliente denegamos todo lo dems Aqu se muestra el resultado del comando show Access-list

despues aplicamos la lista de acceso en la interfaz INSIDE con el comando access-group 101 in interface inside este es el resultado del comando show running-config access-group

en la segunda lista de acceso permitiremos el acceso de cualquier host desde la interfaz OUTSIDE hasta el servidor https ubicado en la interfaz DMZ

Access-list 102 extended permit tcp any host 1.1.1.1 eq https Access-list 102 extended deny ip any any

aplicamos la lista de acceso sobre la interfaz OUTSIDE

access-group 102 in interface outside

ahora configuraremos NAT para que el servidor web de la DMZ sea visto desde la interfaz OUTSIDE con una ip publica y adems para que los clientes de la interfaz INSIDE salgan a la interfaz OUTSIDE o internet con un rango de ips publicas comando para que el servidor web sea visto con la ip 1.1.1.1

Static (dmz,outside) 1.1.1.1 192.168.20.20 netmask 255.255.255.255 Dmz es la interfaz donde est el servidor y outside donde se recibirn las peticiones para la ip 1.1.1.1 resultado del comando show nat

comando para que los clientes salgan a la interfaz con el rango de ips 2.2.2.2 hasta 2.2.2.10

global (outside) 1 2.2.2.2-2.2.2.10 netmask 255.255.255.0