-
Gesamte Inhalte
43 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von klenn
-
-
ÖFFENTLICHE IP ist die des hostes wo der port freigeschalten werden soll
testen tu ich von zu hause nicht im netz der pix;)
die vpns funktionieren
aber das mit dem ftp port verstehe ich nicht würde ich was in der config finden
hätte ich die lösung
geschafft hatte ich mit conduit www für den rechner frei zu schalten ging auch
update muss man sicherlich kaufen?
-
erstmal 1000 X danke markus
will euch auch nicht von weihnachten abhalten
hat leder nicht funktioniert
komme mit telnet nicht auf den port
seltsamerweise komme ich auf ftp 21
nach dem ich mich erkundigt habe muss es nicht zwingend port 9157 sein
hier die config
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 aut0
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 public security50
enable password xxxxxx encrypted
passwd xxxxxx encrypted
hostname PIX515E
domain-name xxxx.de
fixup protocol ftp 21
fixup protocol ftp 10126
fixup protocol ftp 10127
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol http 10120
fixup protocol http 10121
fixup protocol http 10122
fixup protocol http 10123
fixup protocol http 10124
fixup protocol http 10125
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
name vpn1.0.0.0 kunde1
name vpn2.0.0.0 kunde2
access-list acl_kunde1 permit ip host ip des hostes kunde1 255.255.255.240
access-list outside_cryptomap_20 permit ip interface outside kunde1 255.255.255.240
access-list acl_kunde2 permit ip host ip des hostes kunde2 255.255.255.0
access-list outside_cryptomap_40 permit ip interface outside kunde2 255.255.255.0
access-list OUTSIDE-IN permit tcp any host ip des hostes eq 9157
access-list OUTSIDE-IN permit udp any host ip des hostes eq 9157
p
ager lines 24
mtu outside 1500
mtu inside 1500
mtu public 1500
ip address outside ip pix 255.255.255.248
ip address inside 192.168.1.1 255.255.255.0
ip address public 192.168.100.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.149 255.255.255.255 inside
pdm history enable
arp timeout 7200
global (outside) 1 ip des hostes
global (outside) 1 ip dmz
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
nat (public) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) ip des hostes 192.168.1.149 netmask 255.255.255.255 0 0
access-group OUTSIDE-IN in interface outside
route outside 0.0.0.0 0.0.0.0 (ip isp router) 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 192.168.1.149 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address acl_kunde1
crypto map outside_map 20 set pfs group2
crypto map outside_map 20 set peer pix kunde 1
crypto map outside_map 20 set transform-set ESP-DES-MD5
crypto map outside_map 20 set security-association lifetime seconds 3600 kilobytes 460800
crypto map outside_map 40 ipsec-isakmp
crypto map outside_map 40 match address acl_kunde2
crypto map outside_map 40 set peer pix kunde1
crypto map outside_map 40 set transform-set ESP-DES-MD5
crypto map outside_map interface outside
isakmp enable outside
isakmp key ******** address kunde2 netmask 255.255.255.255 no-xauth no-config-mode
isakmp key ******** address kunde1 netmask 255.255.255.255 no-xauth no-config-mode
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash sha
isakmp policy 20 group 1
isakmp policy 20 lifetime 86400
-
danke für die infos habe mitr das schon fast gedacht
wie geht das mit dem acl befehlen?
und mit acl s muss ich keine cryptomaps erstelle?
-
hat natürlich auch nicht funktioniert
mann ist das ding sicher :(
-
danke für die antworten
habe da noch was gefunden sollte eventuell mit statik inside outside gehen das hatte ich noch nicht probiert.
dann sollte conduit gehen melde mich sobald ich es getestet habe.
mann so langsam werd ich dafür zu alt:D
-
noch ne frage wenn ich bei telnet den port mitangebe sollte der kurser blinken wenn ich den port erreiche?
-
Willst du die oeffentliche (echte?!) IP vom Rechner ansprechen oder ein NAT auf der PIX machen? Eine ACL und ne Route sollte da eigentlich reichen (PIX bin ich nicht so routiniert)
acl wie macht man die ich fand nur das man mit conduit einzelne ports und und ips freischalten kann
acl s habe ich nur für die vpns genutzt
nur in meinem fall soll es keine vpn werden
-
also ich habe echte ip an der pix in der dmz und an dem rechner für den der port freigeschaltet werden soll mit statik nat ausgestattet
habe 3 sec bereiche sec 0 sec 50(dmz) und sec 100 für den besagten pc.
der pc baut auch vpn verbindungen in andere netze auf nur der dämliche port 9157 grige ich nicht frei
-
diese bücher von ciscopress sind schweine teuer bei terrashop gibt es sie etwas günstiger
Suche nach 'cisco' bei terrashop.de
ich hätte auch noch welche günstig abzugeben, muss aber mal nachsehen welche es sind
bei interresse einfach melden.
-
habe ne pix 515e
eine dmz eingerichtet für www mit echter ip
und eine echte ip die einem rechner zugeordnet ist , der über vpn komuniziert und im sicheren bereich steht.
leider habe ich nicht soviel damit zu tun alsonoch keine wenig ahnung:D
ich muss einen port (9157) auf den rechner hinter der pix freischalten also im sicheren netzwerk, so das bestimmte ips oder namen im internet darüber kommunizieren können.
ich hatte versucht das ganze mit conduit freizuschalten leider ohne erfolg
nach einem portscann ist das ding dicht
wie kann ich einen port freischalten der vom internet in das sichere netzwerk kommt:confused:
-
hi ich habe das gleiche proplem mit 12 usern auf 40 citrix servern
hast du schon ne lösung gefunden?
-
verstanden hab ichs schon :mad: wozu solche zertifikate sind !!! würde auch unbeqemerweise 12 gpos mit den ensprechenden
berechtigungen versehen wenns was nutzen würde
allerdings das man mich versteht sieht meine umgebung so aus:
40 citrixserver mit 1300 usern
nach updates unseres rechenzentrums haben wir öffters das problem dass wir userprofiele löschen müssen weil nach solchen updats die wichtigste anwendung mit den vorhandenen regeinträgen nicht mehr funktioniert welche das sind, weis keiner. weder rechenzentrum noch wir wir sind beide auf der suche!!!
um eine grosse redundanz zu halten müssen diese 12 user auch auf allen 40 servern arbeiten das heist im klartext 480 certifikate manuell neu installieren nach einem update auf dem host:eek: :eek: :eek: alle 3 monate
deppenarbeit meiner meinung nach denn so etwas muss nicht sein kosten unendlich
user kann nicht arbeiten nerft die hotline, hotline nerft mich :mad: ich bekomme meine arbeit nicht gemacht kennt bestimmt jeder von euch.
oder der absolute horror für irgendeine externe anwendung pro user ein zetifikat 52000 certifikate installieren alle 3 monate
gibt es irgend eine möglichkeit diese zertifikate automatisiert zu installiern?????
-
es sind zertifikate um auf eine bestimmte internetseite zuzugreifen
wie z.B autohändler auf die zulassung also privater informationsaustausch *.pfx
12 zertifikate mit 12 verschiedenen passwörtern
-
ich habe ca. 12 zertifikate mit passwort die bestimten usern unter citrix zugeordnet werden sollen da ich offters die userprofiele löschen muss und keine lust habe auf 40 citrix machienen 12 usern die zertifikate neu einzustellen meine frage:
gibt es die möglichkeit die zertifikate mit einer gpo zu verteilen?
-
hat funktioniert danke :jau: :thumb1: und sorry kohn dacht währe hier richtig
-
Danke für die schnelle antwort ich werde es mal ausprobieren und Bericht erstatten :jau:
-
ich such in den gpo`s den eintrag für den iee das ich auf allen plätzen,
die cookies in der option datenschutz auf mittel einstellen kann.
pix firewall ports frei schalten
in Cisco Forum — Allgemein
Geschrieben
die öffendliche ip des hostes liegt im netz der pix