Access Groups editieren

[Litotes]

Hallo,

ich beschäftige mich gerade ganz neu mit Cisco Firewalls und deren CLI.
Wie kann ich einzelene Einträge in den Access-listen oder Access-groups löschen?
und 2. versuche ich gerade bei einer Cisco PIX 506 E ein FTP-Server von aussen verfügbar zu machen. Stimmt es, dass die IP des Outside-Interfaces auf dem die FTP verbimndung ankommt nicht im Pool enthalten sein darf?

Hier die config:
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname pixfw
domain-name xxx.xx
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
object-group service Mailserver tcp
description All Services used on Mailserver
port-object eq www
port-object eq https
port-object eq smtp
port-object eq imap4
object-group service VPN_Server tcp
description Services Used on VPN Servers (currently only pptp)
port-object eq pptp
access-list inside_outbound_nat0_acl permit ip 192.168.0.0 255.255.255.0 192.168
.0.0 255.255.255.0
access-list acl_outside permit tcp any host xxx.xxx.xxx.xxx eq ftp
access-list inside_access_in permit tcp any any
access-list inside_access_in permit udp any any
pager lines 24
logging on
logging timestamp
logging console emergencies
logging buffered informational
logging trap warnings
logging facility 21
logging queue 3
logging host inside 192.168.0.143
mtu outside 1500
mtu inside 1500
ip address outside xxx
ip address inside 192.168.0.13 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool PPTP_KS 192.168.0.213-192.168.0.230
global (outside) 1 213.23.102.211
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 213.23.102.209 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.0.143 255.255.255.255 inside
http 192.168.0.0 255.255.255.0 inside
http 0.0.0.0 0.0.0.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-pptp
sysopt ipsec pl-compatible
telnet timeout 5
ssh 192.168.0.0 255.255.255.0 inside
ssh timeout 60
management-access inside
console timeout 0
vpdn enable outside



Danke und Gruß

[loopback_28]

Es gibt 2 arten von access-listen

Bezeichnung per Nummer

Standard access-list (1-99)
Erweitert access-list (100-199)

Bezeichnung per Namen

Standard ip access-list standard Name
Erweitert ip access-list extended Name

Wie kann ich einzelene Einträge in den Access-listen oder Access-groups löschen?

man kann einzelne Einträge in den Access-listen nur dann löschen wenn sie mit "Bezeichnung per Namen" estellt sind

Vorsicht

bei access-listen "Bezeichnung per Nummer" wird die komplette access liste gelöscht.

[s21it21]

hello,


wenn du mehrere access-listen hast zb.:

access-list outside_Interface permit tcp host x host y eq 80
access-list outside_Interface permit tcp host v host z eq 443
usw.

du kannst die einzelnen access-listen nur so bearbeiten, indem du die zu erst löschst und dann eben neu anlegst (mit den neuen parametern).

zu deinem zugriff auf den ftp-server.
generell sollte es so sein, dass die pup-ip der firewall nur für die firewall ist (zumindest in grösseren umgebungen). wenn services, wie in deinem fall, von aussen verfügbar sein sollten, dann sollte eine weitere pupip genommen werden.

wenn du das nicht kannst, weil du einfach nur eine einzige pupip zur verfügung hast, dann geht das trotzdem.

ABER: dabei musst du aufpassen, dass du beim static-befehl den port genau mit angibst. nur dann funktioniert das. gibst du den port nicht an, so geht nichts mehr (diesen fall hatte ich schon öfters bei kunden).

meine bevorzugten versionen sind also:

1) pupip der firewall wird für nichts anders benutzt
2) wenn es nicht anders geht, dann eben static-einträge mit den entsprechenden port-parametern mitangeben.

lg
martin