Speedo
-
Gesamte Inhalte
42 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Speedo
-
-
Ich kapier das nicht... wieso greift die Regel "access-list acl_close deny tcp any any (hitcnt=18)" am inside-Interface, jedoch nicht am outside-Interface??
Muss speziell am Ende einer access-list ein deny all stehen? Ich las irgendwo, daß die Pix nur durchläßt was explizit erlaubt wurde. Dagegen spricht die obige Sache, denn aktuell habe ich in der Pix nur die die obige Access-list am outside interface angebunden, kann jedoch immer noch surfen...
-
Bitte, es ist wirklich sehr wichtig... Ich habe hier das englische Handbuch zu der o.g. Pix liegen. Meines Erachtens sind die Regeln richtig, zumindest soweit ich das verstanden habe.
Kann denn nicht mal jemand einen Blick drauf werfen? Ist doch bestimmt nur ein kleiner Fehler...
-
[...]
access-group acl_outside in interface outside
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 [iP GATEWAY] 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si
p 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
telnet timeout 5
ssh timeout 5
dhcpd address 10.0.0.2-10.0.0.254 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
terminal width 80
Vielen Dank für eure Hilfe! Ich weiß wirklich nicht mehr weiter...
-
Hallo,
Kann mir jemand verraten, warum die Access-List nicht greift? Die "hitcnt" in der Access-List zeigen bei allen Regeln eine 0... Ich kann ungehindert surven... Heißt es nicht, daß die Access-list standartmäßig verbieten, wenn man nichts explizit durchlässt?
Es geht um:
Cisco PIX Firewall Version 6.1(4)
Cisco PIX Device Manager Version 1.1(2)
Compiled on Tue 21-May-02 08:40 by morlee
mask up 12 secs
Hardware: PIX-506E, 32 MB RAM, CPU Pentium II 300 MHz
Flash E28F640J3 @ 0x300, 8MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB
0: ethernet0: address is 000a.f43d.9dc7, irq 10
1: ethernet1: address is 000a.f43d.9dc8, irq 11
Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES: Disabled
Maximum Interfaces: 2
Cut-through Proxy: Enabled
Guards: Enabled
Websense: Enabled
Inside Hosts: Unlimited
Throughput: Limited
ISAKMP peers: Unlimited
mit folgender Konfiguration:
PIX Version 6.1(4)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname mask
domain-name [Domain]
no fixup protocol sip 5060
no fixup protocol skinny 2000
no fixup protocol h323 1720
no fixup protocol rsh 514
no fixup protocol ftp 21
no fixup protocol rtsp 554
no fixup protocol smtp 25
no fixup protocol sqlnet 1521
no fixup protocol http 80
names
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 8080
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq www
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 443
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 524
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 22
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 134
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq pop3
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 995
access-list acl_outside deny ip 10.0.0.0 255.255.255.0 host 10.0.0.1
pager lines 24
logging timestamp
logging console debugging
logging buffered debugging
logging trap debugging
logging history informational
interface ethernet0 10baset
interface ethernet1 10baset
mtu outside 1500
mtu inside 1500
ip address outside [iPAdresse mit Netmask der PIX]
ip address inside 10.0.0.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
[...]
-
Hallo!
Eine generelle Frage zum Erstellen einer Access-List, bzw. zum Anwenden dieser. Ich erstelle auf einer PIX 506E die notwendigen permit-Regeln unter einer acl_ID und schliesse die Liste mit einer deny-any-Regel ab. Auf welches Interface (outside/inside) binde ich die Liste nun, um den Verkehr auf z.B. http/https, smtp und ssh zu beschränken?
Mir ist unklar, warum man die Möglichkeit hat, zwei Listen für im Grunde den selben Weg zu definieren. Ist das nicht mit einer Wasserleitung zu vergleichen, die vorne und hinten je einen Absperrhahn hat?
Vielen Dank im Voraus!
-
Für die Nachwelt: Eine Authentifizierung an einem RADIUS-Server, der sich NICHT im internen Bereich der PIX befindet, ist in der beschriebenen Release nicht möglich. Ebenso bietet die Pix selbst keinen Radius-Dienst an, um dies zu umgehen. Sie kann nur mit einem Radius-Server kommunizieren, der sich im internen Netz befindet.
-
Ziel soll sein, den an die PIX angeschlossenen Geräten das Kommunizieren mit einem anderen geschützten Bereich zu ermöglichen, für welches der Radius-Server die Authetifizierung regelt. Ich bin bei Cisco fündig geworden (http://www-search.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a0080094188.shtml#config) jedoch ist dort ein Beispiel beschrieben, wo der Radius mit den anderen Geräten im internen Bereich der PIX steht, in meinem Falle sollte er jedoch im externen Bereich also vor der Pix stehen.
-
Ich betreibe eine Cisco Pix 506E in der Version 6.1(4) und möchte die Pix als Router nutzen. Authentifikation der dahinter angeschlossenen PCs soll über einen externen Radius-Server abgehandelt werden. Im Handbuch steht: "PIX Firewall does not support Radius authorization." Das gibt mir zu denken, denn ich kann im Menü die Pix selbst als Radius aufsetzen, was aber garnicht gewollt ist. Ich wüßte nun gerne, wie ich die Pix so konfiguriere, daß sie sich via Protokoll mit dem Radius unterhält... Weiß jemand, wo ich das einstellen kann? Ist dafür ein Firmware-Upgrade erforderlich?
Gruß und Dank!
Christian
-
So, habe mich bis hierher durchgeboxt, jetzt haperts noch am http... Die Clients können auf das externe Beinchen pingen, sich am Novell anmelden und auch FTP-Sitzungen eröffnen, nur spielt das Internet nicht mit. Proxyeinstellungen habe ich durchprobiert, kein Erfolg.
Bitte schaut euch die Config nochmal an:
: Saved
:
PIX Version 6.1(4)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname ********
domain-name ********
no fixup protocol sip 5060
no fixup protocol skinny 2000
no fixup protocol h323 1720
no fixup protocol rsh 514
no fixup protocol ftp 21
no fixup protocol rtsp 554
no fixup protocol smtp 25
no fixup protocol sqlnet 1521
no fixup protocol http 80
names
ermit icmp any host 10.0.0.1
pager lines 24
logging on
logging timestamp
logging console debugging
logging buffered debugging
logging trap debugging
logging history informational
interface ethernet0 10baset
interface ethernet1 10baset
mtu outside 1500
mtu inside 1500
ip address outside ********
ip address inside 10.0.0.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
conduit permit icmp any any
route outside 0.0.0.0 0.0.0.0 [iP-Gateway] 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si
p 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
telnet timeout 5
ssh timeout 5
dhcpd address 10.0.0.2-10.0.0.254 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
terminal width 80
Dank und Gruß!
-
Hm, hilft mir nicht viel weiter... Gleiches habe ich in gebundener Form vor mit liegen. Meine obigen Fragen erklären sich für mich daraus nicht.
-
Mir ist der 'Static'-Befehl noch nicht ganz klar. Funktion und Syntax ist verständlich, jedoch weis ich nicht, welche IPs ich da eintragen soll...
static (inside, outside) [iP öffentliches Pix-Beinchen oder IP des Gateways?] [iP privates Pix-Beinchen=10.0.0.1?]
Muss ich eine Netmask angeben, wenn ja, welche?
EDIT: Beim Eintragen des NAT kam eine Notiz, das ich überlappende IPs mit der Broadcast-Adresse hätte... Im Handbuch unter static steht, daß man diese nicht verwenden solle... Kann ich das auch auf das NAT transferieren?
-
Danke für die Erklärung, jetzt wird mir einges klar... Die Cisco-Seite habe ich betrefflich der Pix wohl mittlerweile komplett durch. Man wird da ja förmlich von Infos erschlagen...
Werde mich nochmal melden, wenn ich Fragen hab oder es funktioniert.
-
Was ist bei der NAT-ID zu beachten? Muss die gleich oder dürfen auch beide 0 sein?
-
Danke für die Hilfe...
@Blacky: Den global so einsetzen, wie Predator es nannte?
Zum "static" bitte eine wen möglich nähere Erläuterung... Was wird da in der Pix gemacht und was ist danach erlaubt?
Die Pix soll erstmal nur routen und maskieren. Von aussen sollen keine Verbindungen zu initiieren zu sein.
-
Hm, kann mir denn niemand einen Tip geben? :shock:
-
Hallo,
ich bekomme einfach keine Verbindung zum Netz mit meiner Pix hin. Die Pix erreicht mit Pings das Gateway und die Clients. Letztere dürfen aber nicht nach outside pingen. :(
Folgendes habe ich konfiguriert:
PIX Version 6.1(4)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
hostname xxxxxx
domain-name xxxxxxxxxxx
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
access-list acl_inside permit ip 10.0.0.0 255.255.255.0 any
access-list acl_inside permit icmp 10.0.0.0 255.255.255.0 any
access-list acl_inside deny ip any any
access-list acl_outside permit ip any host xxxxxxxxx
access-list acl_outside permit icmp any host xxxxxxxxx
access-list acl_outside deny ip any any
pager lines 24
logging on
logging timestamp
logging console debugging
logging buffered debugging
logging trap debugging
logging history informational
interface ethernet0 10baset
interface ethernet1 10baset
mtu outside 1500
mtu inside 1500
ip address outside xxxxxxxxx 255.255.255.192
ip address inside 10.0.0.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
nat (inside) 0 access-list acl_inside
access-group acl_outside in interface outside
access-group acl_inside in interface inside
route outside 0.0.0.0 0.0.0.0 xxxxxxxxx [zum Gateway] 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si
p 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
telnet timeout 5
ssh timeout 5
dhcpd address 10.0.0.2-10.0.0.254 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
terminal width 80
nameif ethernet0 outside security0
nameif ethernet1 inside security100
Ich kann das Gateway nicht anpingen. Die PIX buildet zwar eine Verbindung, aber mehr passiert da nicht...
Hin und wieder erscheint eine LogMes über "Teardown"... Was heißt das? Verbindung beendet? :suspect:
Sollten weitere Infos nötig sein, poste ich sie gern...
Danke!!
Warum greift diese Access-List nicht?
in Cisco Forum — Allgemein
Geschrieben
Endlich... Danke! ;)
Ich habe die Bindung,
"access-group acl_outside in interface outside"
die auch oben in der conf steht, aufgehoben und eine neue einfache Regel erstellt (eben die deny all) und die statt dessen mit dem inside-interface verbunden, um einfach mal zu testen, was denn überhaupt noch funktioniert.
Bisher habe ich folgendes getestet:
Anlegen der permit-Regeln und einer Deny-Regel
fbtbw-mask(config)# sh access-list
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 8080 (hitcnt=0)
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq www (hitcnt=0)
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 443 (hitcnt=0)
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 524 (hitcnt=0)
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 22 (hitcnt=0)
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 134 (hitcnt=0)
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993 (hitcnt=0)
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq smtp(hitcnt=0)
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq pop3(hitcnt=0)
access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 995 (hitcnt=0)
access-list acl_outside deny ip 10.0.0.0 255.255.255.0 host 10.0.0.1 (hitcnt=0)
fbtbw-mask(config)# sh access-group
access-group acl_outside in interface outside
Ergebnis:
Counter zählen nicht hoch, keinerlei Beschränkung durch Regeln
Access-List auf Inside-Interface binden:
fbtbw-mask(config)# no access-group acl_outside in interface outside
fbtbw-mask(config)# access-group acl_outside in interface inside
fbtbw-mask(config)# sh access-group
access-group acl_outside in interface inside
fbtbw-mask(config)#write mem
-> Reload
Ergebnis:Internet nicht möglich (Proxy not found), Pingen nach draßen nicht möglich, Counter werden nicht hochgezählt
---- >Stand bis hier wie ganz oben ausgegeben <----