kroliczko

Hallo, mal eine Frage für Cisco Profis ;-) Was ist eigentlich der Unterschied zwischen den beiden folgenden Arten von access-listen auf Cisco Switchen: interface GigabitEthernet 1/0 ip access-group 110 out access-list 110 permit tcp host 10.10.1.1 any eq 80 access-list 110 permit udp host 10.10.1.1 any eq 53 und interface GigabitEthernet 1/0 ip access-group Internet_access out ip access-list extended Internet_access permit tcp host 10.10.1.1 any eq 80 permit udp host 10.10.1.1 any eq 53 deny ip any any wäre dankbar für eine ausführliche genaue Antwort! Gruß

Danke für die Atwort! ja aber damit funktioniert es nur temporär da wenn der Server bootet sind alle statischen Routingsinträge weg! Hat jemand vielleicht einen bessern Vorschlag? Gruß

Hallo, Ein Server hat 3 NICs in unterschiedlichen VLANs: NIC1: 10.10.1.1 VLAN1 NIC2: 10.10.2.1 VLAN2 NIC3: 10.10.3.1 VLAN3 und versucht eine FTP Session zum FTP-SErver(10.20.1.254) aufzubauen. Es liegt eine access-lis die den Zugriff nur für VALN2(10.10.2.0/24) auf den FTP-Server erlaubt. Der Server kann aber keine Sesstion aufbauen, weil die ACL block den Traffic da es mit der Source address 10.10.1.1 aufschägt! Was kann man einstellen daß der Server für Traffic zum A als source eine bestimmte NIC benutzt? Gruß

habe ich rausgenommen aber es geht immer noch nicht!

hier ist mein config: hostname PIX515# sho run : Saved : PIX Version 7.0(1) names ! interface Ethernet0 description *** outside *** speed 100 duplex full nameif outside security-level 0 ip address xxx.xxx.xxx.xxx ! interface Ethernet1 description *** inside *** speed 100 duplex full nameif inside security-level 100 ip address 192.168.1.1 255.255.255.252 ! enable password ************ encrypted passwd ********** encrypted hostname PIX515 domain-name default.domain.invalid ftp mode passive access-list inside extended permit icmp any any access-list inside extended permit tcp any any eq http access-list inside extended permit udp any any eq domain access-list inside extended permit ip any host x.x.x.x access-list inside extended permit ip 192.168.1.0 255.255.255.0 host xxx.xxx.xxx.xxx access-list inside extended permit ip 10.0.0.0 255.255.255.0 host xxx.xxx.xxx.xxx access-list outside extended permit ip host xxx.xxx.xxx.xxx any access-list outside extended permit tcp any any eq ssh access-list outside extended permit icmp any any access-list outside extended permit icmp any any time-exceeded access-list outside extended permit icmp any any unreachable pager lines 24 logging enable logging buffered debugging logging trap debugging logging asdm informational logging host inside 192.168.1.254 mtu outside 1500 mtu inside 1500 no failover monitor-interface outside monitor-interface inside icmp permit any outside icmp permit any inside asdm image flash:/asdm asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 access-group outside in interface outside access-group inside in interface inside route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 1 route inside 192.168.192.0 255.255.255.0 192.168.1.2 1 route inside 10.0.0.0 255.240.0.0 192.168.1.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute group-policy nlgroup internal group-policy nlgroup attributes vpn-idle-timeout 30 username ******** password ********** encrypted privilege 15 aaa authentication ssh console LOCAL http server enable no snmp-server location no snmp-server contact snmp-server enable traps snmp telnet 192.168.1.0 255.255.255.0 outside telnet 10.0.0.0 255.255.255.0 inside telnet timeout 5 ssh xxx.xxx.xxx.xxx 0.0.0.0 outside ssh timeout 60 console timeout 0 tunnel-group DefaultL2LGroup type ipsec-l2l tunnel-group DefaultL2LGroup ipsec-attributes isakmp keepalive threshold 60 retry 5 tunnel-group DefaultRAGroup type ipsec-ra tunnel-group DefaultRAGroup ipsec-attributes isakmp keepalive threshold 60 retry 5 ! class-map inspection_default match default-inspection-traffic ! ! policy-map global_policy class inspection_default inspect dns maximum-length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect icmp inspect http ! service-policy global_policy global Cryptochecksum:d7f96d01c525ce6Z3V86cc88e01d419d20b hoffentlich kann man mir nun helfen! Gruss

hat's leider nichts gebracht :-( weiterhin kein "traceroute" von keinem Client möglich! woran liegt's sonst?

@mturba: wie kann ich das bitte konfigurieren? könntest du mit bitte die commands dazu als Konfigbeispiel posten! Danke!

Danke für deine Antwort. Ich hab aber von einem anderem PC hinter einer anderen PIX ausprobiert und es funktioniert!! Muss "traceroute" extra freigeschaltet? falls ja wie?

von einem PC hinter einer PIX515 läßt sich kein "Traceroute" anzeigen!! Mus man etwas bestimtes an der Firewall ändern damit es nun geht oder hat die Firewall überhaupt nichts damitzu tun? Danke & Grüße

Nein, es gibt keine VPN-Anbindung zwischen der Zentrale und der Außenstelle! kann eigentlich die PIX/ASA DynDNS??

die Kiste wird remote in der Außenstelle eingesetzt und ich sitze in der Zentrale! In der Außenstelle ist leider keiner, der dabei Hilft :-( Gibt's da irgendwelche Möglichkeit, die IP Adresse herauszubekommen damit ich die kiste per SSH draufkomme oder sowas! Was kann ich konfiguriere, damit die Kiste die zugewiesene IP Adresse irgendwohin schickt? Danke!

Hi, Ich konfiguriere PPPOE auf einer PIX506 für einen T-DSL Anschluß(keine feste-IP) und verschicke sie zu unserer Außenstelle. Wie kriege ich heraus, welche IP Adresse nun die PIX per PPPOE zugewiesen bekam, nachdem sie online ging? Schöne Grüsse

Vielen Dank für die Antwort... Es funkioniert ;-) Ciao

Hallo Alleseits, Ich möchte eine Site to Site VPN zwischen 2 PIXen (506E) einrichten und möchte gerne wissen, wie ich den Traffic zwischen den beiden LANs genau steuern kann? Alles ist soweit eingerichtet und der tunnel wird aufgebaut, der traffic passiert auch ohne problem aber ich möchte den Zugriff zwischen den beiden LANs einschränken und zwar nur 2http" erlaube! PIX1: access−list 120 permit ip 10.1.1.0 255.255.255.0 10.2.2.0 255.255.255.0 sysopt connection permit−ipsec crypto ipsec transform−set myset esp−des esp−md5−hmac crypto map newmap 20 ipsec−isakmp crypto map newmap 20 match address 120 crypto map newmap 20 set peer X.X.X.X crypto map newmap 20 set transform−set myset isakmp enable outside isakmp key ******** address X.X.X.X netmask 255.255.255.255 no−xauth no−config−mode PIX2: access−list 110 permit ip 10.2.2.0 255.255.255.0 10.1.1.0 255.255.255.0 sysopt connection permit−ipsec crypto ipsec transform−set myset esp−des esp−md5−hmac crypto map newmap 10 ipsec−isakmp crypto map newmap 10 match address 110 crypto map newmap 10 set peer Y.Y.Y.Y crypto map newmap 10 set transform−set myset crypto map newmap interface outside isakmp enable outside isakmp key ******** address Y.Y.Y.Y netmask 255.255.255.255 no−xauth no−config−mode Folgendes ist gewünscht: Die clients aus dem LAN(10.2.2.0/24) dürfen die clients(10.1.1.0/24) nur über "http" ansprechen wie kann man das am besten konfigurieren bzw. wie kann man generell den Traffic, der durch den VPN-tunnel fließt, kontrolieren? Danke & Schöne Grüße