Speedo

Endlich... Danke! ;) Ich habe die Bindung, "access-group acl_outside in interface outside" die auch oben in der conf steht, aufgehoben und eine neue einfache Regel erstellt (eben die deny all) und die statt dessen mit dem inside-interface verbunden, um einfach mal zu testen, was denn überhaupt noch funktioniert. Bisher habe ich folgendes getestet: Anlegen der permit-Regeln und einer Deny-Regel fbtbw-mask(config)# sh access-list access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 8080 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq www (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 443 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 524 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 22 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 134 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq smtp(hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq pop3(hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 995 (hitcnt=0) access-list acl_outside deny ip 10.0.0.0 255.255.255.0 host 10.0.0.1 (hitcnt=0) fbtbw-mask(config)# sh access-group access-group acl_outside in interface outside Ergebnis: Counter zählen nicht hoch, keinerlei Beschränkung durch Regeln Access-List auf Inside-Interface binden: fbtbw-mask(config)# no access-group acl_outside in interface outside fbtbw-mask(config)# access-group acl_outside in interface inside fbtbw-mask(config)# sh access-group access-group acl_outside in interface inside fbtbw-mask(config)#write mem -> Reload Ergebnis:Internet nicht möglich (Proxy not found), Pingen nach draßen nicht möglich, Counter werden nicht hochgezählt ---- >Stand bis hier wie ganz oben ausgegeben <----

Ich kapier das nicht... wieso greift die Regel "access-list acl_close deny tcp any any (hitcnt=18)" am inside-Interface, jedoch nicht am outside-Interface?? Muss speziell am Ende einer access-list ein deny all stehen? Ich las irgendwo, daß die Pix nur durchläßt was explizit erlaubt wurde. Dagegen spricht die obige Sache, denn aktuell habe ich in der Pix nur die die obige Access-list am outside interface angebunden, kann jedoch immer noch surfen...

Bitte, es ist wirklich sehr wichtig... Ich habe hier das englische Handbuch zu der o.g. Pix liegen. Meines Erachtens sind die Regeln richtig, zumindest soweit ich das verstanden habe. Kann denn nicht mal jemand einen Blick drauf werfen? Ist doch bestimmt nur ein kleiner Fehler...

[...] access-group acl_outside in interface outside conduit permit icmp any any route outside 0.0.0.0 0.0.0.0 [iP GATEWAY] 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si p 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable no sysopt route dnat telnet timeout 5 ssh timeout 5 dhcpd address 10.0.0.2-10.0.0.254 inside dhcpd lease 3600 dhcpd ping_timeout 750 dhcpd enable inside terminal width 80 Vielen Dank für eure Hilfe! Ich weiß wirklich nicht mehr weiter...

Hallo, Kann mir jemand verraten, warum die Access-List nicht greift? Die "hitcnt" in der Access-List zeigen bei allen Regeln eine 0... Ich kann ungehindert surven... Heißt es nicht, daß die Access-list standartmäßig verbieten, wenn man nichts explizit durchlässt? Es geht um: Cisco PIX Firewall Version 6.1(4) Cisco PIX Device Manager Version 1.1(2) Compiled on Tue 21-May-02 08:40 by morlee mask up 12 secs Hardware: PIX-506E, 32 MB RAM, CPU Pentium II 300 MHz Flash E28F640J3 @ 0x300, 8MB BIOS Flash AM29F400B @ 0xfffd8000, 32KB 0: ethernet0: address is 000a.f43d.9dc7, irq 10 1: ethernet1: address is 000a.f43d.9dc8, irq 11 Licensed Features: Failover: Disabled VPN-DES: Enabled VPN-3DES: Disabled Maximum Interfaces: 2 Cut-through Proxy: Enabled Guards: Enabled Websense: Enabled Inside Hosts: Unlimited Throughput: Limited ISAKMP peers: Unlimited mit folgender Konfiguration: PIX Version 6.1(4) nameif ethernet0 outside security0 nameif ethernet1 inside security100 hostname mask domain-name [Domain] no fixup protocol sip 5060 no fixup protocol skinny 2000 no fixup protocol h323 1720 no fixup protocol rsh 514 no fixup protocol ftp 21 no fixup protocol rtsp 554 no fixup protocol smtp 25 no fixup protocol sqlnet 1521 no fixup protocol http 80 names access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 8080 access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq www access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 443 access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 524 access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 22 access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 134 access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993 access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993 access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq pop3 access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 995 access-list acl_outside deny ip 10.0.0.0 255.255.255.0 host 10.0.0.1 pager lines 24 logging timestamp logging console debugging logging buffered debugging logging trap debugging logging history informational interface ethernet0 10baset interface ethernet1 10baset mtu outside 1500 mtu inside 1500 ip address outside [iPAdresse mit Netmask der PIX] ip address inside 10.0.0.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 0 0 [...]

Hallo! Eine generelle Frage zum Erstellen einer Access-List, bzw. zum Anwenden dieser. Ich erstelle auf einer PIX 506E die notwendigen permit-Regeln unter einer acl_ID und schliesse die Liste mit einer deny-any-Regel ab. Auf welches Interface (outside/inside) binde ich die Liste nun, um den Verkehr auf z.B. http/https, smtp und ssh zu beschränken? Mir ist unklar, warum man die Möglichkeit hat, zwei Listen für im Grunde den selben Weg zu definieren. Ist das nicht mit einer Wasserleitung zu vergleichen, die vorne und hinten je einen Absperrhahn hat? Vielen Dank im Voraus!

Für die Nachwelt: Eine Authentifizierung an einem RADIUS-Server, der sich NICHT im internen Bereich der PIX befindet, ist in der beschriebenen Release nicht möglich. Ebenso bietet die Pix selbst keinen Radius-Dienst an, um dies zu umgehen. Sie kann nur mit einem Radius-Server kommunizieren, der sich im internen Netz befindet.

Ziel soll sein, den an die PIX angeschlossenen Geräten das Kommunizieren mit einem anderen geschützten Bereich zu ermöglichen, für welches der Radius-Server die Authetifizierung regelt. Ich bin bei Cisco fündig geworden (http://www-search.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a0080094188.shtml#config) jedoch ist dort ein Beispiel beschrieben, wo der Radius mit den anderen Geräten im internen Bereich der PIX steht, in meinem Falle sollte er jedoch im externen Bereich also vor der Pix stehen.

Ich betreibe eine Cisco Pix 506E in der Version 6.1(4) und möchte die Pix als Router nutzen. Authentifikation der dahinter angeschlossenen PCs soll über einen externen Radius-Server abgehandelt werden. Im Handbuch steht: "PIX Firewall does not support Radius authorization." Das gibt mir zu denken, denn ich kann im Menü die Pix selbst als Radius aufsetzen, was aber garnicht gewollt ist. Ich wüßte nun gerne, wie ich die Pix so konfiguriere, daß sie sich via Protokoll mit dem Radius unterhält... Weiß jemand, wo ich das einstellen kann? Ist dafür ein Firmware-Upgrade erforderlich? Gruß und Dank! Christian

So, habe mich bis hierher durchgeboxt, jetzt haperts noch am http... Die Clients können auf das externe Beinchen pingen, sich am Novell anmelden und auch FTP-Sitzungen eröffnen, nur spielt das Internet nicht mit. Proxyeinstellungen habe ich durchprobiert, kein Erfolg. Bitte schaut euch die Config nochmal an: : Saved : PIX Version 6.1(4) nameif ethernet0 outside security0 nameif ethernet1 inside security100 hostname ******** domain-name ******** no fixup protocol sip 5060 no fixup protocol skinny 2000 no fixup protocol h323 1720 no fixup protocol rsh 514 no fixup protocol ftp 21 no fixup protocol rtsp 554 no fixup protocol smtp 25 no fixup protocol sqlnet 1521 no fixup protocol http 80 names ermit icmp any host 10.0.0.1 pager lines 24 logging on logging timestamp logging console debugging logging buffered debugging logging trap debugging logging history informational interface ethernet0 10baset interface ethernet1 10baset mtu outside 1500 mtu inside 1500 ip address outside ******** ip address inside 10.0.0.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 0 0 conduit permit icmp any any route outside 0.0.0.0 0.0.0.0 [iP-Gateway] 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si p 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable no sysopt route dnat telnet timeout 5 ssh timeout 5 dhcpd address 10.0.0.2-10.0.0.254 inside dhcpd lease 3600 dhcpd ping_timeout 750 dhcpd enable inside terminal width 80 Dank und Gruß!

Hm, hilft mir nicht viel weiter... Gleiches habe ich in gebundener Form vor mit liegen. Meine obigen Fragen erklären sich für mich daraus nicht.

Mir ist der 'Static'-Befehl noch nicht ganz klar. Funktion und Syntax ist verständlich, jedoch weis ich nicht, welche IPs ich da eintragen soll... static (inside, outside) [iP öffentliches Pix-Beinchen oder IP des Gateways?] [iP privates Pix-Beinchen=10.0.0.1?] Muss ich eine Netmask angeben, wenn ja, welche? EDIT: Beim Eintragen des NAT kam eine Notiz, das ich überlappende IPs mit der Broadcast-Adresse hätte... Im Handbuch unter static steht, daß man diese nicht verwenden solle... Kann ich das auch auf das NAT transferieren?

Danke für die Erklärung, jetzt wird mir einges klar... Die Cisco-Seite habe ich betrefflich der Pix wohl mittlerweile komplett durch. Man wird da ja förmlich von Infos erschlagen... Werde mich nochmal melden, wenn ich Fragen hab oder es funktioniert.

Was ist bei der NAT-ID zu beachten? Muss die gleich oder dürfen auch beide 0 sein?

Danke für die Hilfe... @Blacky: Den global so einsetzen, wie Predator es nannte? Zum "static" bitte eine wen möglich nähere Erläuterung... Was wird da in der Pix gemacht und was ist danach erlaubt? Die Pix soll erstmal nur routen und maskieren. Von aussen sollen keine Verbindungen zu initiieren zu sein.

Hm, kann mir denn niemand einen Tip geben? :shock:

Hallo, ich bekomme einfach keine Verbindung zum Netz mit meiner Pix hin. Die Pix erreicht mit Pings das Gateway und die Clients. Letztere dürfen aber nicht nach outside pingen. :( Folgendes habe ich konfiguriert: PIX Version 6.1(4) nameif ethernet0 outside security0 nameif ethernet1 inside security100 hostname xxxxxx domain-name xxxxxxxxxxx fixup protocol ftp 21 fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol sip 5060 fixup protocol skinny 2000 names access-list acl_inside permit ip 10.0.0.0 255.255.255.0 any access-list acl_inside permit icmp 10.0.0.0 255.255.255.0 any access-list acl_inside deny ip any any access-list acl_outside permit ip any host xxxxxxxxx access-list acl_outside permit icmp any host xxxxxxxxx access-list acl_outside deny ip any any pager lines 24 logging on logging timestamp logging console debugging logging buffered debugging logging trap debugging logging history informational interface ethernet0 10baset interface ethernet1 10baset mtu outside 1500 mtu inside 1500 ip address outside xxxxxxxxx 255.255.255.192 ip address inside 10.0.0.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 nat (inside) 0 access-list acl_inside access-group acl_outside in interface outside access-group acl_inside in interface inside route outside 0.0.0.0 0.0.0.0 xxxxxxxxx [zum Gateway] 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si p 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable no sysopt route dnat telnet timeout 5 ssh timeout 5 dhcpd address 10.0.0.2-10.0.0.254 inside dhcpd lease 3600 dhcpd ping_timeout 750 dhcpd enable inside terminal width 80 nameif ethernet0 outside security0 nameif ethernet1 inside security100 Ich kann das Gateway nicht anpingen. Die PIX buildet zwar eine Verbindung, aber mehr passiert da nicht... Hin und wieder erscheint eine LogMes über "Teardown"... Was heißt das? Verbindung beendet? :suspect: Sollten weitere Infos nötig sein, poste ich sie gern... Danke!!