Cisco Pix / PPPoe / Interface

[123]

Hallo,
ich bin zur Zeit dabei, eine Pix Firewall zu installieren, allerdings gibt es da ein

paar Hindernisse.


Die PPPoe verbindung besteht soweit laut: "sh vpdn", nur kann ich von dem

Inside Interface, keine IP Adresse im Outside interface pingen.


Die Konfig befindet sich zur Zeit noch ziemlich auf den Stand des

Auslieferungszeit Punktes, denn ich wollte erst einmal eine erfolgreiche

Internet-Verbindung aufbauen.


Und hier ist sie meine Konfig:

Code:

wr t
Building configuration...
: Saved
:
PIX Version 6.3(3)
interface ethernet0 100full
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 000 encrypted
passwd 000 encrypted
hostname 
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside pppoe setroute
ip address inside 172.16.10.5 255.255.0.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet 172.16.0.0 255.255.0.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group 000 request dialout pppoe
vpdn group 000 localname 000
vpdn group 000 ppp authentication pap
vpdn username 000 password *********
terminal width 80
Cryptochecksum:cf5c3e9d728964f1a01d1346ecb2f05e
: end
[OK]

Freue mich auf euere Rückmeldungen.


Mit besten Grüßen

123

[blackbox]

Hi,

das ist richtig - default mässig wird ICMP geblockt (aber nicht der abgehende - sondern die Antwort Pakete) - versuch einfach mal zu surfen (aber nimm nicht die PIX als DNS Server - die macht dat nett).

[123]

Du hattest recht, ich hatte einen nicht mehr aktivien DNS-Server an den Clients weitergegeben gehabt, soweit funktioniert der Zugang zum Internet jetzt.

Nun habe ich aber versucht, ein Port redirect durchzuführen auf einen internen Mail-Server, nur leider ohne Erfolg.

Vielleicht könnte sich jemmand die Konfig noch einmal anschauen.


Meine Konfig:

Code:

:
: Saved
:
PIX Version 8.0(4)
!
hostname 
enable password encrypted
passwd encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address pppoe setroute
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 172.16.10.5 255.255.0.0
!
ftp mode passive
access-list 102 extended permit tcp any host 172.16.10.10 eq smtp
pager lines 24
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
icmp deny any outside
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) tcp interface smtp 172.16.10.10 smtp netmask 255.255.255.255
access-group 102 in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
dynamic-access-policy-record DfltAccessPolicy
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet 172.16.0.0 255.255.0.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group 000 request dialout pppoe
vpdn group 000 localname 000
vpdn group 000 ppp authentication pap
vpdn username 000 password 000
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:098a028d5be9ddbf11e2bd9642fd66d2
: end
[OK]

Mit besten Grüßen

123

[MYOEY]

Hi,
Der Access-list Eintrag sollte meiner Meinung folgendermaßen aussehen:

access-list 102 extended permit tcp any interface outside eq smtp


Gruß

[blackbox]

Stimme ich dir @myoey vollkommen zu..

[123]

Ich bin begeistert, es funktioniert tatsächlich.

Nun muss ich lediglich, dass ganze noch auf den Host 172.16.10.10 begrenzen.


Vielen Dank

Mit besten Grüßen

123

EDIT:
Korrigiert mich bitte wenn ich falsch liegen sollte, aber ich brauche in der ACL gar kein Host zu definieren,

da das bereits die Static-Route übernimmt.


Es ist anscheinend schon ein wenig zu spät für mich...

[blackbox]

du bindest ja in der "Static" den Port der 172.16.10.10 an das "Outside" Interface - deswegen kommt man da auch nur hin - wenn man von aussen auf den Port des Outside das ganze zuläßt. Das ganze ist so sauber.

[123]

Jetzt habe ich noch ein Problem und zwar versuche ich jetzt, den internen

Traffic nach außen teilweise zu blockieren.

Das habe ich wie folgt versucht anzustellen:

Code:

object-group service tcpout tcp
 port-object eq 80
 port-object eq 443
object-group service udpout udp
 port-object eq 53
 port-object eq 123
object-group service tcpout-server tcp
 port-object eq 25

access-list 100 extended permit udp any any object-group udpout
access-list 100 extended permit tcp any any object-group tcpout
access-list 100 extended permit tcp 172.16.10.10 255.255.0.0 any object-group tcpout-server
access-list 100 extended deny ip any any

access-group 100 in interface inside

Nur leider wird alles blockkiert. Ich habe mich zwar schon mit den Anleitungen

von Cisco angefreundet, aber ich kommen noch nicht wirklich auf den

grünen Pfad.


Mit besten Grüßen

123

[MYOEY]

Hi,
den letzen Eintrag in deiner ACL "access-list 100 extended deny ip any any" brauchst du nicht!

Also den Eintrag rausnehmen und dann noch mal ausprobieren!


Gruß