Speedo

Endlich... Danke! ;)

 

Ich habe die Bindung,

"access-group acl_outside in interface outside"

die auch oben in der conf steht, aufgehoben und eine neue einfache Regel erstellt (eben die deny all) und die statt dessen mit dem inside-interface verbunden, um einfach mal zu testen, was denn überhaupt noch funktioniert.

 

Bisher habe ich folgendes getestet:

 

 

 

Anlegen der permit-Regeln und einer Deny-Regel

fbtbw-mask(config)# sh access-list

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 8080 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq www (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 443 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 524 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 22 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 134 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993 (hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq smtp(hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq pop3(hitcnt=0)

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 995 (hitcnt=0)

access-list acl_outside deny ip 10.0.0.0 255.255.255.0 host 10.0.0.1 (hitcnt=0)

 

fbtbw-mask(config)# sh access-group

access-group acl_outside in interface outside

 

Ergebnis:

Counter zählen nicht hoch, keinerlei Beschränkung durch Regeln

 

 

Access-List auf Inside-Interface binden:

fbtbw-mask(config)# no access-group acl_outside in interface outside

fbtbw-mask(config)# access-group acl_outside in interface inside

fbtbw-mask(config)# sh access-group

access-group acl_outside in interface inside

 

fbtbw-mask(config)#write mem

-> Reload

 

Ergebnis:Internet nicht möglich (Proxy not found), Pingen nach draßen nicht möglich, Counter werden nicht hochgezählt

 

 

---- >Stand bis hier wie ganz oben ausgegeben <----

Ich kapier das nicht... wieso greift die Regel "access-list acl_close deny tcp any any (hitcnt=18)" am inside-Interface, jedoch nicht am outside-Interface??

Muss speziell am Ende einer access-list ein deny all stehen? Ich las irgendwo, daß die Pix nur durchläßt was explizit erlaubt wurde. Dagegen spricht die obige Sache, denn aktuell habe ich in der Pix nur die die obige Access-list am outside interface angebunden, kann jedoch immer noch surfen...

Bitte, es ist wirklich sehr wichtig... Ich habe hier das englische Handbuch zu der o.g. Pix liegen. Meines Erachtens sind die Regeln richtig, zumindest soweit ich das verstanden habe.

Kann denn nicht mal jemand einen Blick drauf werfen? Ist doch bestimmt nur ein kleiner Fehler...

[...]

access-group acl_outside in interface outside

conduit permit icmp any any

route outside 0.0.0.0 0.0.0.0 [iP GATEWAY] 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si

p 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

no sysopt route dnat

telnet timeout 5

ssh timeout 5

dhcpd address 10.0.0.2-10.0.0.254 inside

dhcpd lease 3600

dhcpd ping_timeout 750

dhcpd enable inside

terminal width 80

 

 

 

Vielen Dank für eure Hilfe! Ich weiß wirklich nicht mehr weiter...

Hallo,

Kann mir jemand verraten, warum die Access-List nicht greift? Die "hitcnt" in der Access-List zeigen bei allen Regeln eine 0... Ich kann ungehindert surven... Heißt es nicht, daß die Access-list standartmäßig verbieten, wenn man nichts explizit durchlässt?

 

 

Es geht um:

 

Cisco PIX Firewall Version 6.1(4)

Cisco PIX Device Manager Version 1.1(2)

Compiled on Tue 21-May-02 08:40 by morlee

 

mask up 12 secs

 

Hardware: PIX-506E, 32 MB RAM, CPU Pentium II 300 MHz

Flash E28F640J3 @ 0x300, 8MB

BIOS Flash AM29F400B @ 0xfffd8000, 32KB

 

0: ethernet0: address is 000a.f43d.9dc7, irq 10

1: ethernet1: address is 000a.f43d.9dc8, irq 11

 

Licensed Features:

Failover: Disabled

VPN-DES: Enabled

VPN-3DES: Disabled

Maximum Interfaces: 2

Cut-through Proxy: Enabled

Guards: Enabled

Websense: Enabled

Inside Hosts: Unlimited

Throughput: Limited

ISAKMP peers: Unlimited

 

 

mit folgender Konfiguration:

 

PIX Version 6.1(4)

nameif ethernet0 outside security0

nameif ethernet1 inside security100

hostname mask

domain-name [Domain]

no fixup protocol sip 5060

no fixup protocol skinny 2000

no fixup protocol h323 1720

no fixup protocol rsh 514

no fixup protocol ftp 21

no fixup protocol rtsp 554

no fixup protocol smtp 25

no fixup protocol sqlnet 1521

no fixup protocol http 80

names

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 8080

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq www

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 443

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 524

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 22

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 134

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq pop3

access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 995

access-list acl_outside deny ip 10.0.0.0 255.255.255.0 host 10.0.0.1

pager lines 24

 

logging timestamp

logging console debugging

logging buffered debugging

logging trap debugging

logging history informational

interface ethernet0 10baset

interface ethernet1 10baset

mtu outside 1500

mtu inside 1500

ip address outside [iPAdresse mit Netmask der PIX]

ip address inside 10.0.0.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

[...]

Hallo!

Eine generelle Frage zum Erstellen einer Access-List, bzw. zum Anwenden dieser. Ich erstelle auf einer PIX 506E die notwendigen permit-Regeln unter einer acl_ID und schliesse die Liste mit einer deny-any-Regel ab. Auf welches Interface (outside/inside) binde ich die Liste nun, um den Verkehr auf z.B. http/https, smtp und ssh zu beschränken?

 

Mir ist unklar, warum man die Möglichkeit hat, zwei Listen für im Grunde den selben Weg zu definieren. Ist das nicht mit einer Wasserleitung zu vergleichen, die vorne und hinten je einen Absperrhahn hat?

 

 

Vielen Dank im Voraus!

Für die Nachwelt: Eine Authentifizierung an einem RADIUS-Server, der sich NICHT im internen Bereich der PIX befindet, ist in der beschriebenen Release nicht möglich. Ebenso bietet die Pix selbst keinen Radius-Dienst an, um dies zu umgehen. Sie kann nur mit einem Radius-Server kommunizieren, der sich im internen Netz befindet.

Ziel soll sein, den an die PIX angeschlossenen Geräten das Kommunizieren mit einem anderen geschützten Bereich zu ermöglichen, für welches der Radius-Server die Authetifizierung regelt. Ich bin bei Cisco fündig geworden (http://www-search.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a0080094188.shtml#config) jedoch ist dort ein Beispiel beschrieben, wo der Radius mit den anderen Geräten im internen Bereich der PIX steht, in meinem Falle sollte er jedoch im externen Bereich also vor der Pix stehen.

Ich betreibe eine Cisco Pix 506E in der Version 6.1(4) und möchte die Pix als Router nutzen. Authentifikation der dahinter angeschlossenen PCs soll über einen externen Radius-Server abgehandelt werden. Im Handbuch steht: "PIX Firewall does not support Radius authorization." Das gibt mir zu denken, denn ich kann im Menü die Pix selbst als Radius aufsetzen, was aber garnicht gewollt ist. Ich wüßte nun gerne, wie ich die Pix so konfiguriere, daß sie sich via Protokoll mit dem Radius unterhält... Weiß jemand, wo ich das einstellen kann? Ist dafür ein Firmware-Upgrade erforderlich?

 

 

Gruß und Dank!

 

Christian

So, habe mich bis hierher durchgeboxt, jetzt haperts noch am http... Die Clients können auf das externe Beinchen pingen, sich am Novell anmelden und auch FTP-Sitzungen eröffnen, nur spielt das Internet nicht mit. Proxyeinstellungen habe ich durchprobiert, kein Erfolg.

 

Bitte schaut euch die Config nochmal an:

 

 

: Saved

:

PIX Version 6.1(4)

nameif ethernet0 outside security0

nameif ethernet1 inside security100

 

hostname ********

domain-name ********

no fixup protocol sip 5060

no fixup protocol skinny 2000

no fixup protocol h323 1720

no fixup protocol rsh 514

no fixup protocol ftp 21

no fixup protocol rtsp 554

no fixup protocol smtp 25

no fixup protocol sqlnet 1521

no fixup protocol http 80

names

ermit icmp any host 10.0.0.1

pager lines 24

logging on

logging timestamp

logging console debugging

logging buffered debugging

logging trap debugging

logging history informational

interface ethernet0 10baset

interface ethernet1 10baset

mtu outside 1500

mtu inside 1500

ip address outside ********

ip address inside 10.0.0.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

conduit permit icmp any any

route outside 0.0.0.0 0.0.0.0 [iP-Gateway] 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si

p 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

no sysopt route dnat

telnet timeout 5

ssh timeout 5

dhcpd address 10.0.0.2-10.0.0.254 inside

dhcpd lease 3600

dhcpd ping_timeout 750

dhcpd enable inside

terminal width 80

 

 

Dank und Gruß!

Hm, hilft mir nicht viel weiter... Gleiches habe ich in gebundener Form vor mit liegen. Meine obigen Fragen erklären sich für mich daraus nicht.

Mir ist der 'Static'-Befehl noch nicht ganz klar. Funktion und Syntax ist verständlich, jedoch weis ich nicht, welche IPs ich da eintragen soll...

 

static (inside, outside) [iP öffentliches Pix-Beinchen oder IP des Gateways?] [iP privates Pix-Beinchen=10.0.0.1?]

 

Muss ich eine Netmask angeben, wenn ja, welche?

 

EDIT: Beim Eintragen des NAT kam eine Notiz, das ich überlappende IPs mit der Broadcast-Adresse hätte... Im Handbuch unter static steht, daß man diese nicht verwenden solle... Kann ich das auch auf das NAT transferieren?

Danke für die Erklärung, jetzt wird mir einges klar... Die Cisco-Seite habe ich betrefflich der Pix wohl mittlerweile komplett durch. Man wird da ja förmlich von Infos erschlagen...

Werde mich nochmal melden, wenn ich Fragen hab oder es funktioniert.

Was ist bei der NAT-ID zu beachten? Muss die gleich oder dürfen auch beide 0 sein?

Danke für die Hilfe...

 

@Blacky: Den global so einsetzen, wie Predator es nannte?

 

Zum "static" bitte eine wen möglich nähere Erläuterung... Was wird da in der Pix gemacht und was ist danach erlaubt?

Die Pix soll erstmal nur routen und maskieren. Von aussen sollen keine Verbindungen zu initiieren zu sein.

Hm, kann mir denn niemand einen Tip geben? :shock:

Hallo,

ich bekomme einfach keine Verbindung zum Netz mit meiner Pix hin. Die Pix erreicht mit Pings das Gateway und die Clients. Letztere dürfen aber nicht nach outside pingen. :(

 

Folgendes habe ich konfiguriert:

 

 

PIX Version 6.1(4)

nameif ethernet0 outside security0

nameif ethernet1 inside security100

hostname xxxxxx

domain-name xxxxxxxxxxx

fixup protocol ftp 21

fixup protocol http 80

fixup protocol h323 1720

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol sip 5060

fixup protocol skinny 2000

names

access-list acl_inside permit ip 10.0.0.0 255.255.255.0 any

access-list acl_inside permit icmp 10.0.0.0 255.255.255.0 any

access-list acl_inside deny ip any any

access-list acl_outside permit ip any host xxxxxxxxx

access-list acl_outside permit icmp any host xxxxxxxxx

access-list acl_outside deny ip any any

pager lines 24

logging on

logging timestamp

logging console debugging

logging buffered debugging

logging trap debugging

logging history informational

interface ethernet0 10baset

interface ethernet1 10baset

mtu outside 1500

mtu inside 1500

ip address outside xxxxxxxxx 255.255.255.192

ip address inside 10.0.0.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm history enable

arp timeout 14400

nat (inside) 0 access-list acl_inside

access-group acl_outside in interface outside

access-group acl_inside in interface inside

route outside 0.0.0.0 0.0.0.0 xxxxxxxxx [zum Gateway] 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si

p 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

no sysopt route dnat

telnet timeout 5

ssh timeout 5

dhcpd address 10.0.0.2-10.0.0.254 inside

dhcpd lease 3600

dhcpd ping_timeout 750

dhcpd enable inside

terminal width 80

 

nameif ethernet0 outside security0

nameif ethernet1 inside security100

 

Ich kann das Gateway nicht anpingen. Die PIX buildet zwar eine Verbindung, aber mehr passiert da nicht...

 

Hin und wieder erscheint eine LogMes über "Teardown"... Was heißt das? Verbindung beendet? :suspect:

 

Sollten weitere Infos nötig sein, poste ich sie gern...

 

Danke!!