Cisco Pix 501 Firewall: Link Aggregation oder was?

[Herbert Leitner]

Hallo!

Ich habe ein paar Cisco PIX 501 Firewalls in Verwendung und ein Problem mit der Konfiguration.

Vielleicht kennt das jemand und kann mir helfen. Wenn ich mich unpräzise ausdrücke, dann bitte ich um Verständnis.

Meine Server beginnen z.B: bei 192.168.0.8 / 24 und enden bei 192.168.0.15. Damit kann ich mit einer Regel alle meine Server erreichen:
192.168.0.8 / 29 (255.255.255.248) (von 192.168.0.8 - 192.168.0.15)

Ich habe also Regeln (welche auch immer), die auf 192.168.0.8 / 29 adressieren.

Nun möchte ich auch Regeln verwenden, die sich auf einzelne Hosts beziehen, also /32 (=255.255.255.255).
Das ist solange kein Problem, solange ich in der Regel nicht die 192.168.0.8/32 verwende.

Nun wird mir jeder zustimmen, daß
192.168.0.8 / 29 ein Subnetz ist, und
192.168.0.8 / 32 ein Host ist, und eines das andere nicht auschließt.

Nun habe ich die leidige Sache, daß die Cisco Pix 501 ein Problem damit hat, wenn es einen Host gibt, der zu Beginn eines Subnetzes steht und beide mit unterschiedlichen Regeln verwendet wird.

Die Pix vergibt z.B für 192.168.0.8 einen Namen und unterschiedet ab dem Zeitpunkt nicht zwischen /29 und /32.
Ich verstehe nicht warum das so ist.

Warum sollt es nicht möglich sein, eine Regel zu haben die sich auf 192.168.0.8 / 29 bezieht, und eine andere, die sich auf den Host 192.168.0.8 bezieht.

Bin ich der einzige, der sich mit so trivialen Sachen rumägert?

Wer kann helfen?
Ich hatte ein SupportPack von Cisco gekauft, und übersehen, daß ich es aktiviere - damit war die Ausgabe beim Fenster raus geschmissen!

Tks!
Herbert

[s21it21]

Hallo,

Bei der PIX ist das so:

Mit dem "name"-Befehl kannst Du für eine IP-Adresse einen Namen vergeben. Dabei ist es unwichtig ob das ein Host oder ein Netz ist. Dies wird dann erst bei der wirklichen "access-list" vergeben (mit eben netmask). Somit ist der "name"-Eintrag einfach nur ein Mapping zwischen Namen und "irgendeinem Objekt".

Also mir ist nicht bekannt, dass das bei der PIX ein Problem sein sollte. Dieser ist es komplett egal, ob Du einmal den Host oder das Netz meinst. Kann es sein, dass das Problem wo anders liegt? Poste mal diese zwei Access-Listen genau, dann kann man vielleicht mehr sagen.

lg
Martin

[Herbert Leitner]

Hallo!

Ich mach die Konfiguration der PIX mit dem PDM weil ich es nicht schaffen würde, die Konfiguration selbst rein zu schreiben. Das sind doch jeweils an die 100 - 200 Zeilen "Code".

Mich wundert aber, daß da noch niemand drüber gefallen ist. Ich habe das reproduzierbar bei allen meinen Geräten gesehen.

Immer die letzte Änderung überschreibt alle vorigen, auch wenn sich diese eigentlich nicht in die Quere kommen.
Ich meine das so: Mache ich als letztes eine Regel die sich auf den Host 192.168.0.8/32 bezieht, werden alle anderen Regeln von 192.168.0.8/29 auf 192.168.0.8/32 geändert.

Mache ich dann wieder eine Regel auf 192.168.0.8/29, dann werden alle Regelen von 192.168.0.8/32 auf 192.168.0.8/29 erweitert.

Wie gesagt, ich mach das mit dem PDM, vermutlich könnte ich das Problem umgehen, wenn ich die Konfiguration selbst schreiben würde. Da müßte ich mich aber erst richtig einarbeiten - es ist ein weites Feld.

Dank Dir!
Herbert

[s21it21]

Hallo Herbert!

Jetzt weisst Du warum der PDM ein Schrott ist.

Normalerweiser kann man das mit dem access-listen sehr wohl realisieren. Wie gesagt der PIX ist es egal, was Du machst (bis zu einem gewissen Grad).

lg
Martin