Для начала надо заметить, что консольные команды для cisco asa и cisco могут различаться, для сомневающихся предлагаем прочитать официальную документацию с сайта cisco
Далее приведем настройку Cisco через консоль
И так начинаем
Имеем
WAN
83.140.17.126 255.255.255.248
DMZ
192.168.2.10 255.255.255.0
LAN
192.168.1.10 255.255.255.0
enable — заходим в режим администратора, по дефолту пароль отсутствует
clock set — устанавливаем время
clock set 15:10:00 15 june 2017 — пример
configure terminal или conf t — в режим конфигуратора
hostname ms2 — задаем имя cisco ms2
domain bereg.ru — задаем имя домена
show run — покажет настройки интерфейсов
write — сохраняет настройки
enable password — задать пароль для входы в привилегированный режим
enable password Mk@#! 987#ds — пример
Настройка интерфейсов
interface GigabitEthernet 1/1 — настройка интерфейса 1/1
ip address 83.140.17.126 255.255.255.248 — задаем адрес и маску для интерфейса
nameif wan — задаем имя интерфейсу
mac-address 000.000.000 — меняем mac если надо
security-level 0 — устанавливаем уровень доверия интерфейсу
no shutdown — включаем интерфейс
no dhcpd enable wan — отключаем dhcp на интерфейсе
interface GigabitEthernet 1/2 — настройка интерфейса 1/2
ip address 192.168.2.10 255.255.255.0 — задаем адрес и маску для интерфейса
nameif dmz — задаем имя интерфейсу
mac-address 000.000.000 — меняем mac если надо
security-level 50 — устанавливаем уровень доверия интерфейсу
no shutdown — включаем интерфейс
no dhcpd enable dmz — отключаем dhcp на интерфейсе
interface GigabitEthernet 1/3 — настройка интерфейса 1/3
ip address 192.168.1.10 255.255.255.0 — задаем адрес и маску для интерфейса
nameif lan — задаем имя интерфейсу
mac-address 000.000.000 — меняем mac если надо
security-level 100 — устанавливаем уровень доверия интерфейсу
no shutdown — включаем интерфейс
no dhcpd enable lan — отключаем dhcp на интерфейсе
route outside 0.0.0.0 0.0.0.0 83.140.17.121 1 — задаем маршрут прохождения пакетов
Включаем Nat во внешнюю сеть
object network dmz-subnet — разрешаем компьютерам из dmz попадать в глобальную сеть
subnet 192.168.2.0 255.255.255.0
nat (dmz,wan) dynamic interface
exit
object network lan-subnet — разрешаем компьютерам из lan попадать в глобальную сеть
subnet 192.168.2.0 255.255.255.0
nat (lan,wan) dynamic interface
exit
object network lan-subnet — разрешаем компьютерам из lan попадать в глобальную сеть
subnet 192.168.1.0 255.255.255.0
nat (lan,dmz) dynamic interface
exit
write — сохраняем конфиг
Проброс портов в cisco
вводные
надо пробросить 25 из глобальной сети в dmz к компьютеру 192.168.2.15
object network postfix-25 — postfix-25 произвольное название
host 192.168.2.15
nat (wan,dmz) static interface tcp 25 25
exit
добавляем правило acl, которое разрешит проходить пакетам из сети wan в сеть dmz
access-list wan_acl extended permit tcp any object postfix-25 eq 25
access-group wan_acl in interface wan
Настраиваем DNS
dns domain-lookup lan — ( включаем dns и указываем на каком интерфейсе он работает)
dns server-group Default DNS
name-server 8.8.8.8 ( задаем форвард DNS, можно указать несколько ip dns пишем через пробел)
write — сохраняем конфиг