menschmaschine

So, mein Problem ist 'gelöst'. Ich habe die 501 rausgeworfen und durch ein OpenBSD-basierendes pf ersetzt. ;) Am Wochenende habe ich die externe Anbindung der PIX mal auf einen Hub gesteckt, um auch dort mit tcpdump/ethereal Daten sammeln zu können. Parallel hierzu habe ich noch ein 'debug packet outside' laufen lassen. Auf der Inside-Seite sind unglaublich viele Pakete die mit einer falschen Checksum von der PIX zum Host laufen. Nachdem dann debug mal ein paar Minuten lief, ist die SSH-Verbindung zur Pix unterbrochen worden. Eine erneut aufgebaut Sitzung blieb dann auch nur ein paar Minuten lang erhalten. Und obwohl ich debug später deaktiviert habe, hatte ich einige Stunden später 60%-70% CPU. Da war dann an normales, und vor allem performantes, surfen nicht mehr zu denken. Wobei ich mich schon frage, warum die Kiste bei 60% die Füsse hochklappt. Also alles in allem ist das Resultat natürlich traurig, da ich die Pix auch gerne benutzt hätte. Vielleicht werde ich später noch mal schauen ob das Gerät lauffähig ist. Allerdings habe ich eher den Eindruck, dass das Teil nicht in Ordnung ist. Jetzt ist mir erst mal ein gängiges LAN wichtig. Und deshalb wird eben das gute alte pf eigesetzt ;) Aber trotz allem Danke für die Antwort. menschmaschine

Ja, ist alles unveraendert. Und ein NAT habe ich natuerlich, hatte ich vergessen zu erwaehnen, eingerichtet. Ja, das koennte doch eine Hilfe sein! Das werde ich spaeter auf jeden Fall mal probieren. Sagt irgendwie jeder, ja ;) War aber die schnellste Moeglichkeit fuer mich 'mal eben' alles gaengig zu bekommen. Danke schon mal fuer die Hilfe! menschmaschine

Hallo zusammen, ich habe hier ein 'kleines' Problem mit meiner Cisco PIX 501. Leider sitze ich zur Zeit nicht vor der Maschine, so dass detailierte Infos ggf. später nachgeschoben werden müssten. Das IOS ist 6.1, soweit ich das im Kopf habe, und es ist PDM 3 drauf. Da ich schon mit pf (OpenBSD), Netscreen, Fernao und anderen Paketfiltern/Firewalls gearbeitet habe, war das einrichten einer ersten 'Nach aussen hin darf jeder alles'-Regel kein Problem. Es ist also IP, TCP, UDP und ICMP fuer alle internen Maschinen erlaubt. Ich kann nun mit allen PCs (Windows, Linux, BSD) ganz normal im Internet arbeiten. IRC, ICQ, Mail, http, alles kein Problem. Aber in relativ regelmässigen Abstaenden kommt es vor, dass DNS nicht ordentlich auflöst/arbeitet. Ich surfe eine Seite an und bekomme die Meldung, dass Seite www.$SEITENNAME.de nicht erreichbar sei. Wenn ich in diesem Zeitraum, der etwa 30-120 Sekunden dauert, z.B. auch meinen Mailclient neu starte, kann ich auch keine Mails abholen, da die IP meines Providers nicht aufgelöst wird. Kurz was zum Netzaufbau... Internet | | Router (SMC, 192.168.0.0/24) | | PIX (192.168.0.0/24) PIX (192.168.10.0/24) | | LAN (192.168.10.0./24) In der Zone zwischen der PIX und dem Router ist ein Webserver. Auf dem kann ich feststellen, dass das Problem nicht der Router sein kann. Hier funktioniert alles, somit auch DNS, problemlos. Ist jemandem ein vergleichbares Problem bekannt, oder hat jemand eine Idee was hier der Auslöser sein könnte? menschmaschine