Hi Leute! Seit Gestern habe ich endlich meine PIX 501. Ich hab sie soweit auch schon ganz gut zum laufen gebracht, allerdings ein paar Frage hätte ich an die Experten:
Warum wird (auch ohne ACL's) der Ping vom Internet auf mein outside interface zugelassen?
Weiss jemand die Befehlsfolge, wie man das verhindern kann?
access-list acl_out deny icmp any any
access-group acl_out in interface outside
Das würde mir logisch erscheinen, funktioniert aber nicht.
2. Frage:
Ich möchte gerne übers Internet remote auf die PIX via Telnet zugreifen. Das Zulassen des Ports 23 auf das outside interface brachte leider nicht den gewünschen Erfolg.
Welche ICMP-Pakete zu den Interfaces der PIX selbst zugelassen wird, kann man über "icmp permit" bzw. "icmp deny" steuern. Willst du z.B. überhaupt keine ICMP-Pakete am Outside-Interface akzeptieren, geht das mit "icmp deny any outside".
Welche ICMP-Pakete zu den Interfaces der PIX selbst zugelassen wird, kann man über "icmp permit" bzw. "icmp deny" steuern. Willst du z.B. überhaupt keine ICMP-Pakete am Outside-Interface akzeptieren, geht das mit "icmp deny any outside".
JA Danke, bin ich soeben selbst draufgekommen. Aber ich hätte noch 2 andere Fragen:
1.)
Ich kann einfach vom LAN die WAN IP nicht pingen. kA warum. Access-Listen wurden erstellt und vom Internet aus gehts ja auch, aber eben nicht vom LAN.
2.)
Gibt es noch eine andere Möglichkeit als über VPN die Firewall remote übers Internet per telnet zu warten? Ich Stelle mir vor einfach das Telnet Port auf die WAN IP weiterzuleiten oder so. Aber auch hier haben alle meine Versuche nichts gebracht.
So z.b.:
access-list inbound permit tcp any interface outside eq 23
* Telnet auf das Interface mit dem niedrigsten Security Level funktioniert nicht. Das ist per Design so.
* Ping vom Inside auf das Outside Intf (oder auch umgekehrt) funktioniert erst mit Version 7.x und die gibt es für die 501er nicht.
Also du kannst du pix über telnet oder ssh fernwarten übers internet. Ich würde aber ssh empfehlen weil der Traffic des oder sogar 3des verschlüsselt wird. weiters kannst du diese Features einfach einschalten indem du folgende Befehle eingibst.
ssh IP-ADRESSE NETMASK(von wo die Anfrage kommt) interface (in deinem Fall outside) weil du ja vom Internet aus auf die Pix zugreifen willst. Wildcards sind auch erlaubt.
z.B. wenn du 0.0.0.0 0.0.0.0 angibst dann darf jeder auf die zugreifen.
Telnet würde ich nur fürs Interne Lan benutzen wenn überhaupt.
