pix firewall ports frei schalten

[klenn 10]

habe ne pix 515e

eine dmz eingerichtet für www mit echter ip

und eine echte ip die einem rechner zugeordnet ist , der über vpn komuniziert und im sicheren bereich steht.

leider habe ich nicht soviel damit zu tun alsonoch keine wenig ahnung:D

 

ich muss einen port (9157) auf den rechner hinter der pix freischalten also im sicheren netzwerk, so das bestimmte ips oder namen im internet darüber kommunizieren können.

 

ich hatte versucht das ganze mit conduit freizuschalten leider ohne erfolg

 

nach einem portscann ist das ding dicht

 

wie kann ich einen port freischalten der vom internet in das sichere netzwerk kommt:confused:

[Wordo 11]

Willst du die oeffentliche (echte?!) IP vom Rechner ansprechen oder ein NAT auf der PIX machen? Eine ACL und ne Route sollte da eigentlich reichen (PIX bin ich nicht so routiniert)

[klenn 10]

also ich habe echte ip an der pix in der dmz und an dem rechner für den der port freigeschaltet werden soll mit statik nat ausgestattet

 

habe 3 sec bereiche sec 0 sec 50(dmz) und sec 100 für den besagten pc.

 

der pc baut auch vpn verbindungen in andere netze auf nur der dämliche port 9157 grige ich nicht frei

[klenn 10]

Willst du die oeffentliche (echte?!) IP vom Rechner ansprechen oder ein NAT auf der PIX machen? Eine ACL und ne Route sollte da eigentlich reichen (PIX bin ich nicht so routiniert)

 

acl wie macht man die ich fand nur das man mit conduit einzelne ports und und ips freischalten kann

 

acl s habe ich nur für die vpns genutzt

nur in meinem fall soll es keine vpn werden

[klenn 10]

noch ne frage wenn ich bei telnet den port mitangebe sollte der kurser blinken wenn ich den port erreiche?

[Wordo 11]

noch ne frage wenn ich bei telnet den port mitangebe sollte der kurser blinken wenn ich den port erreiche?

 

Das Fenster (Windows) wird schwarz und Cursor blinkt, ja.

[klenn 10]

danke für die antworten

 

 

habe da noch was gefunden sollte eventuell mit statik inside outside gehen das hatte ich noch nicht probiert.

 

dann sollte conduit gehen melde mich sobald ich es getestet habe.

 

mann so langsam werd ich dafür zu alt:D

[klenn 10]

hat natürlich auch nicht funktioniert

 

mann ist das ding sicher :(

[mturba 10]

Lies dir das mal durch:

 

Cisco PIX Firewall and VPN Configuration Guide, Version 6.3 - Controlling Network Access and Use  [Cisco PIX Firewall Software] - Cisco Systems

[Blacky_24 10]

Lass die Finger vom Conduit. Das Ding ist Geschichte und im Prinzip nur noch aus Kompatibilitätsgründen drin. Ganz besonders übel wird das wenn man ACLs und Conduits mischt.

 

Abgesehen davon haben Conduits den Nachteil dass sie Global sind und auf jeglichen Traffic wirken der von einem IF mit niedrigem Security Level kommt, d.h. wenn Du Port 4711 per Conduit erlaubst geht dieser Port sowohl in Richtung Inside als auch in Richtung DMZ auf.

 

Last but not Least: Der Conduit (und sein Gegenstück rauswärts, der Outbound), sind mehr oder weniger mausetot, alle PIX-Releases nach R6.3 kennen diese Befehle nicht mehr - das verkündet Cisco schon seit einigen Jahren und wer R7 kennt weiss dass Cisco da Wort gehalten hat.

 

Die ACLs können alles was man mit Conduit und OUtbound machen konnte - und noch viel mehr - so dass es wirklich absolut keinen Grund mehr gibt, noch Conduits einzubauen.

 

Gruss

Markus

[klenn 10]

danke für die infos habe mitr das schon fast gedacht

 

wie geht das mit dem acl befehlen?

 

und mit acl s muss ich keine cryptomaps erstelle?

[Blacky_24 10]

Das Einzige was Du musst ist das Handbuch lesen um die Grundlagen zu verstehen. Cryptomaps haben mit dem was Du hier fragst nichts zu tun, aber auch garnix.

 

Static für den internen Host einrichten der von aussen erreichbar sein soll:

static (inside,outside) ÖFFENTLICHEIP INTERNEIP netmask 255.255.255.255 0 0

 

Diese ÖFFENTLICHEIP ist NICHT die IP vom Outside-Interface!!!

 

entweder

access-list OUTSIDE-IN permit tcp any host ÖFFENTLICHEIP eq 9157

oder für udp

access-list OUTSIDE-IN permit tcp any host ÖFFENTLICHEIP eq 9157

oder für tcp und udp

access-list OUTSIDE-IN permit ip any host ÖFFENTLICHEIP eq 9157

 

Wichtig ist das die ACL auf die ÖFFENTLICHE IP geht, nicht auf die interne, dein IF OUTSIDE weiss nämlich nix von internen IPs.

 

Dann den Schamott aufs Interface binden und freuen:

 

access-group OUTSIDE-IN in interface outside

 

Wenn das nicht geht Konfig posten, bald ist Weihnachten, da wollen wir alle was anderes machen.

 

Gruss

Markus

[klenn 10]

erstmal 1000 X danke markus

will euch auch nicht von weihnachten abhalten

 

hat leder nicht funktioniert

 

komme mit telnet nicht auf den port

 

seltsamerweise komme ich auf ftp 21

 

nach dem ich mich erkundigt habe muss es nicht zwingend port 9157 sein

 

hier die config

 

PIX Version 6.3(1)

 

interface ethernet0 auto

interface ethernet1 auto

interface ethernet2 aut0

 

nameif ethernet0 outside security0

nameif ethernet1 inside security100

nameif ethernet2 public security50

 

enable password xxxxxx encrypted

passwd xxxxxx encrypted

hostname PIX515E

domain-name xxxx.de

 

fixup protocol ftp 21

fixup protocol ftp 10126

fixup protocol ftp 10127

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol http 10120

fixup protocol http 10121

fixup protocol http 10122

fixup protocol http 10123

fixup protocol http 10124

fixup protocol http 10125

fixup protocol ils 389

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

 

names

name vpn1.0.0.0 kunde1

name vpn2.0.0.0 kunde2

 

access-list acl_kunde1 permit ip host ip des hostes kunde1 255.255.255.240

access-list outside_cryptomap_20 permit ip interface outside kunde1 255.255.255.240

access-list acl_kunde2 permit ip host ip des hostes kunde2 255.255.255.0

access-list outside_cryptomap_40 permit ip interface outside kunde2 255.255.255.0

access-list OUTSIDE-IN permit tcp any host ip des hostes eq 9157

access-list OUTSIDE-IN permit udp any host ip des hostes eq 9157

p

ager lines 24

mtu outside 1500

mtu inside 1500

mtu public 1500

 

ip address outside ip pix 255.255.255.248

ip address inside 192.168.1.1 255.255.255.0

ip address public 192.168.100.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm location 192.168.1.149 255.255.255.255 inside

pdm history enable

arp timeout 7200

global (outside) 1 ip des hostes

global (outside) 1 ip dmz

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

nat (public) 1 0.0.0.0 0.0.0.0 0 0

 

static (inside,outside) ip des hostes 192.168.1.149 netmask 255.255.255.255 0 0

 

access-group OUTSIDE-IN in interface outside

 

route outside 0.0.0.0 0.0.0.0 (ip isp router) 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

 

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

aaa-server LOCAL protocol local

 

http server enable

http 192.168.1.149 255.255.255.255 inside

 

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

 

floodguard enable

 

sysopt connection permit-ipsec

 

crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac

crypto map outside_map 20 ipsec-isakmp

crypto map outside_map 20 match address acl_kunde1

crypto map outside_map 20 set pfs group2

crypto map outside_map 20 set peer pix kunde 1

crypto map outside_map 20 set transform-set ESP-DES-MD5

crypto map outside_map 20 set security-association lifetime seconds 3600 kilobytes 460800

crypto map outside_map 40 ipsec-isakmp

crypto map outside_map 40 match address acl_kunde2

crypto map outside_map 40 set peer pix kunde1

crypto map outside_map 40 set transform-set ESP-DES-MD5

crypto map outside_map interface outside

isakmp enable outside

isakmp key ******** address kunde2 netmask 255.255.255.255 no-xauth no-config-mode

isakmp key ******** address kunde1 netmask 255.255.255.255 no-xauth no-config-mode

isakmp policy 20 authentication pre-share

isakmp policy 20 encryption des

isakmp policy 20 hash sha

isakmp policy 20 group 1

isakmp policy 20 lifetime 86400

[Blacky_24 10]

Soso.

 

Da wo steht "ip des hostes" steht in der Realität die ÖFFENTLICHE IP des internen Hostes der von aussen erreichbar sein soll?

 

Dumme Frage: Wo sitzt Du eigentlich? Will meinen: Sitzt Du HINTER (INSIDE) der PIX und versuchst dann mit "telnet ÖFFENTLICHEIP 9157" auf den Host zuzugreifen? Falls ja kannst Du heimgehen - und von da aus noch mal testen.

 

Was ich jetzt auch noch nicht verstehe ist wohin Du mit "ftp 21" kommst - da ist doch nirgendwo FTP freigegeben?

 

Liegt die "ip des hostes" im gleichen Netz wie die "ip pix"?

 

Das VPN-Zeugs in der Konfig dürfte übrigens auch nicht funktionieren und die Software ist so alt dass ich sie bis hier her nach einem Update schreien höre.

 

Gruss

Markus

[klenn 10]

ÖFFENTLICHE IP ist die des hostes wo der port freigeschalten werden soll

 

testen tu ich von zu hause nicht im netz der pix;)

 

die vpns funktionieren

 

aber das mit dem ftp port verstehe ich nicht würde ich was in der config finden

hätte ich die lösung

 

geschafft hatte ich mit conduit www für den rechner frei zu schalten ging auch

 

 

update muss man sicherlich kaufen?