serversnake
-
Gesamte Inhalte
6 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von serversnake
-
-
oder vielleicht doch so?
geändert ist static (inside,outside) auf static (outside,inside), da
in einem bespiel high und dann low stan?!?
Building configuration...
: Saved
:
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list inside_access_in permit tcp any any
access-list inside_access_in permit ip any any
access-list acl_out permit tcp any host 194.77.5.214 eq www
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.99 255.255.255.255 outside
pdm location 192.168.1.99 255.255.255.255 inside
pdm location 194.77.5.214 255.255.255.255 outside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (outside,inside) 192.168.1.99 194.77.5.214 netmask 255.255.255.255 0 0
access-group acl_out in interface outside
access-group inside_access_in in interface inside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.129 inside
dhcpd dns 213.148.130.10 213.148.129.10
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
terminal width 80
: end
[OK]
-
Hallo Markus,
hier nun die config. Die IPs kann jeder wissen.
Building configuration...
: Saved
:
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list inside_access_in permit tcp any any
access-list inside_access_in permit ip any any
access-list acl_out permit tcp any host 194.77.5.214 eq smtp
access-list acl_out permit tcp any host 194.77.5.214 eq imap4
access-list acl_out permit tcp any host 194.77.5.214 eq www
access-list acl_out permit tcp any host 194.77.5.214 eq https
access-list acl_out permit tcp any host 194.77.5.214 eq ftp
access-list acl_out permit tcp any host 194.77.5.214 eq pop3
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.99 255.255.255.255 outside
pdm location 192.168.1.99 255.255.255.255 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 194.77.5.214 192.168.1.99 netmask 255.255.255.255 0 0
access-group acl_out in interface outside
access-group inside_access_in in interface inside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.129 inside
dhcpd dns 213.148.130.10 213.148.129.10
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
terminal width 80
: end
[OK]
-
so, zusammen,
habe nun folgendes in der commandline ausgeführt
static (inside,outside) 194.77.5.214 192.168.1.99 netmask 255.255.255.255
access-list acl_out permit tcp any host 194.77.5.214 eq smtp
access-list acl_out permit tcp any host 194.77.5.214 eq imap4
access-list acl_out permit tcp any host 194.77.5.214 eq http
access-list acl_out permit tcp any host 194.77.5.214 eq https
access-group acl_out in interface outside
ergebnis, ich komme von außen rein, juchu ...
... aber von drinnen wieder nicht mehr raus.
was genau mache ich nun, oder flasch?
es existieren noch folgende access rules:
inside(any) outside(any) tcp
inside(any) outside(any) ip
und
es existiert noch folgende trans.rule:
interface:inside inside:any/0.0.0.0 -> interface:outside Interface PAT
Danke, Basti
-
Original geschrieben von mike1017
Ein statisches mapping zwischen einer outside IP Adresse und
einer inside IP Adresse d.h. outside Netwerk 172.168.0.0
inside Netzwerk 10.0.0.0
Mapping muss wie folgt realisiert werden :
Outside IP Adresse 172.168.0.1 zu inside IP Adresse 10.0.0.1
d.h die Verbingung wird nicht von outside zur IP Adresse
10.0.0.1 aufgebaut sondern zur IP Adresse 172.168.0.1 und die
PIX weiß jetzt dass die IP Adresse 10.0.0.1 gemeint ist.
Jetzt kommt die Access contol Liste.
In der ACL definierts Du alle permit statements auf die IP
Adresse 172.168.0.1 und bindest diese ACL auf das outside
Interface
Der Mike [/b]
Hallo Mike,
erst einmal danke für die ausführliche Erklärung.
Dann hätte ich allerdings noch eine Frage zum "Mapping"!
Was genau bedeutet dies bzw. wo kann ich das im PDM finden?
Muss ich für den zugriff von draußen meine ip (draußen an der pix) auf die ip meines internen z.b. servers setzen - oder outside(any) auf ip meines internen servers? Auf jedenfall will er dann automatisch eine route anlegen (NAT) und in dem interface kann ich nun auch noch einen gateway angeben. muss dort dann die interne ip der pix rein? (sodass er anfragen von außen über die interne pix-ip auf die interne ip des server schleift?).
muss gestehen bin ein wenig verwirrt, denn wenn ich alle einstellungen so mache, wie besprochen, komme ich von außen rauf, aber wie "Blacky_24" gesagt hatte, von innen nicht mehr raus?!?
Grüße, Basti
-
Hallo zusammen,
liege mit meiner PIX 501 ein wenig im Streit, da Sie mich zwar rausläßt aber von außen nicht rein - oder umgekehrt. Hoffe mir kann jemand helfen.
Im einzelnen:
PIX IP outside (fest) xxx.xxx.xxx.xx
PIX IP inside 192.168.1.1
Server IP Inside 192.168.1.99
Wenn ich per PDM einstelle, dass alle inside (0.0.0.0) auf outside (xxx.xxx.xxx.xxx) dürfen klappt die Verbindung nach draußen wunderbar. Wenn ich dann eine Access-Rule für outside-inside anlege - will er eine static route haben - und ich kann von draußen da hin, wo ich hin will, aber von inside nicht mehr nach outside.
Villeicht ein bißchen einfach geschildert, aber kennt jemand eine Lösung oder hat eine passende Konfiguration schon einmal gemacht und könnte mir diese mal mailen oder erläutern?
VD, Basti
PIX 501 Access Rules
in Cisco Forum — Allgemein
Geschrieben
Hallo Markus,
habe mehrere IPs, jedoch sind diese bereits benutzt, für sdsl-knoten, router - und die letzte dann für den server.
was ich nicht verstehe, ist die verbindung der access-rules zu den trans-rules.
wenn ich eine access rule anlege von any zu meiner server ip, dann muss ich eine statische route definieren. die schreibt mir vor, dass als basis die server-ip genommen wird. heißt aber, dass ich nach beendigung des assis zwei trans-rules habe, wobei eine static die andere dyn ist. die dyn wird ignóriert und somit komme ich zwar rein aber nicht raus.
wenn ich nun über den command "no static" mache, ist sie weg, der zugriff von drau0en und von drinnen funktioniert, aber in der acces-rule steht dann (null rule) - warum? bzw. was muss ich da dann drehen?
verzweifel, basti