Jump to content

PIX 506e Konfiguration


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Forum !

 

So, habe jetzt nach der Grundkonfiguration für die PIX 506e endlich die (knappe) Zeit sie testweise mal komplett einzurichten.

Ich denke, dass man die Grundkonfiguration für ein einfaches LAN mit Anbindung an das Internet auch gut über den PDM hinbekommen sollte.

Allerdings finde ich meist nur die Console-Befehle in Tutorials und Anleitungen.

 

Unsere Konfig ist:

 

Inside-> 1 Netzwerk

Es sollen SMTP-Mails auf einen Exchangeserver in diesem Netz von aussen ankommen

Ausserdem sollen auf dem selben Rechner noch 2 Ports für Filemakerdatenbanken durchgelassen werden

Outside-> Internet

 

Ich muss doch z.B. für SMTP nur auf "Add Rule"

-> permit

Source Host

Interface Outside

Protocol and Service

Source Port

TCP ->Service -> SMTP

 

Destination Host

Interface Inside

IP Adresse 192.168.XX.XX des Servers

Mask 255.255.255.255

 

Und als Destination Port / Service ebenfalls SMTP

 

angeben oder bin ich da komplett vom Verständnis dieses Dialoges falsch gewickelt ?

 

Danke für die Infos

 

Grüsse

 

 

 

 

IP-Adressen für die Interfaces sind soweit konfiguriert

aber die Durchleitung für die Ports finde ich über den PDM irgendwie unverständlich.

Link zu diesem Kommentar

danke schon mal !

 

Aber genau das ist ja der Punkt:

es ist wieder in der Console erklärt, ich möchte aber genau diese Einstellungen im PDM machen und den versteh ich nicht,

möchte ich aber.

 

Das Dokument hilft mir für die Console gut weiter aber um jetzt zu wissen was ich im PDM einstellen muss, würde ich es jetzt so per console einstellen und mir dann im PDM angucken, ist irgendwie von hinten durchs Knie ins Auge geschossen.

Link zu diesem Kommentar

so hab mich da jetzt mal soweit durchgelesen, ist auch verständlich

 

unser Mailserver hat NUR die interne 192.168.XXX.XXX IP,so dass das Beispiel mit der zweiten IP aus dem Outsideadressbereich es scho verkompliziert.

Es soll also alles was auf Port 25 ankommt einfach auf diese interne Adresse weitergeleitet werden (so wie es zur Zeit bei unserer Linux-Firewall auch ist).

Eigentlich geht es mir auch nur um eine geschickte Anleitung/Übersetzung zwischen den Console-Befehlen und dem PDM 3 (bin von natur aus eher der Mausbediener als der Console-tipper. Wie müsste ich zum Beispiel das Beispiel aus Deinem Link im PDM konfigrieren, kannst Du das sagen oder geht das eventuell garnicht darüber?

 

danke für die Infos

Link zu diesem Kommentar

HI

 

ich glaub du bist über die console schneller als über den PDM, und du kannst nicht immer alles über den PDM machen soviel ich weiß.

 

Ich würd mir an deiner Stelle lieber die Console angewöhnen ist einfach besser zum handln.

 

Aber jetzt musst du einmal einen Access-liste für das outside interface anlegen da jeder auf die server ip address auf port 25 und die beiden anderen ports die du brauchst zugriff haben soll.

 

dann mappst du diese alc aufs outside interface mit den befalle access-group ACL in interface outside

 

dann brauchst du noch ein Static, hast du ne fixe ip addresse?

 

wenn ja.

 

dann kommt noch das hinzu

 

static (inside,outside) tcp EXTERNE IP 25 INTERNE IP 25 netmask 255.255.255.255 0 0

 

fertig arbeit.

 

du siehst du musst ganze 3 zeilen in die config eintragen und fertig.

 

mfg

onedread

Link zu diesem Kommentar

ok, danke, dann werd ich mal consolidieren :D

Schon mal danke und nur zum Verständnis hier mal wie ich es dann machen würde:

 

HI

 

Aber jetzt musst du einmal einen Access-liste für das outside interface anlegen da jeder auf die server ip address auf port 25 und die beiden anderen ports die du brauchst zugriff haben soll.

 

 

wäre also bei mir als Befehl

 

access-list MAIL permit tcp any host 192.168.13.XXX eq smtp

 

um auf diesen Rechner im Inside den Port 25 zu bringen

 

 

dann mappst du diese alc aufs outside interface mit den befalle access-group ACL in interface outside

 

 

würde dann so aussehen, oder?

 

access-group MAIL in interface outside

 

 

dann brauchst du noch ein Static, hast du ne fixe ip addresse?

 

wenn ja.

 

dann kommt noch das hinzu

 

static (inside,outside) tcp EXTERNE IP 25 INTERNE IP 25 netmask 255.255.255.255 0 0

 

 

 

also so:

static (inside,outside) tcp 217.146.XXX.XXX 25 192.168.001.001 25 netmask 255.255.255.255 0 0

 

 

 

fertig arbeit.

 

du siehst du musst ganze 3 zeilen in die config eintragen und fertig.

 

mfg

onedread

Link zu diesem Kommentar

Eigentlich wird in dem o.g. zweiten Link alles dargestellt!

In deiner ACL "Mail" musst du nicht die lokale IP angeben, sondern die globale, sprich 217.146.x.x oder wie soll die interne IP auf dem outside-intreface ziehen?

 

Heisst also im Detail:

 

1. Erstelle eine ACLfür smtp und definiere dort, wer (welche IP, in deinem Fall also any) auf Deinen Mailserver zugreifen darf. Dabei musst du beachten, dass die Freigabe auf die NAT-Adresse des Mailservers verweist, also auf die 217.146.x.x

 

access-list Mail permit tcp any host 217.146.x.x eq smtp

 

2. Ordne diese ACL dem entsprechenden interface zu

 

access-group MAIL in interface outside

 

3. Definiere ein static nat:

 

static (inside,outside) 217.146.x.x <IP Mailserver> netmask <mask>

 

Fertig!

 

Deine DNS-Konfiguration sollte dann so aussehen, dass der MX-Record auf die 217-er IP zeigt.

Link zu diesem Kommentar
Eigentlich wird in dem o.g. zweiten Link alles dargestellt!

In deiner ACL "Mail" musst du nicht die lokale IP angeben, sondern die globale, sprich 217.146.x.x oder wie soll die interne IP auf dem outside-intreface ziehen?

 

Heisst also im Detail:

 

1. Erstelle eine ACLfür smtp und definiere dort, wer (welche IP, in deinem Fall also any) auf Deinen Mailserver zugreifen darf. Dabei musst du beachten, dass die Freigabe auf die NAT-Adresse des Mailservers verweist, also auf die 217.146.x.x

 

 

ok , dass habe ich jetzt gemacht, ist logisch ich erlaube also allen von aussen auff unsere öffentliche IP smtp zu senden, und alles von port 25 wird dann durch die static auf die interne IP des Mailservers weitergeleitet.

 

Deine DNS-Konfiguration sollte dann so aussehen, dass der MX-Record auf die 217-er IP zeigt.

 

Das verstehe ich allerdings nicht, warum reicht bei unserem Internen DNS Server nicht die LAn-IP des Servers ?

Von aussen ist der MX Eintrag ja eh von unserem ISP DNS auf die 217.146.... gesetzt, oder meintest Du den ?

Link zu diesem Kommentar

ja, danke schon mal, scheint ja tatsächlich auch mit console ganz gut zu machen sein,

zumal der pdm bei zweien dieser Rules auch unter "Show Comands ignored by PDM" diese auflistet.

Somit scheint er ja tatsächlich nicht alles abzubilden, was die pix kann.

 

smtp funktioniert hier unter testbedingung schon mal.

Sollte man noch irgendetwas beachten, wenn man alle benötigten Ports (wie oben) freigegeben hat und sonst alles auf "Standard" von outside alles weiter denied und von intern alles allowed.

Irgendwelche nicht-standards die man bei einem einfachen netz mit firewall zum internet umbedingt noch machen sollte?

 

 

Danke für die Infos.

Link zu diesem Kommentar

So, ich wollte jetzt das Wochenende mal nutzen um testweise unseren alten Linuxserver durch die PIX zu ersetzen.

 

Ich habe die interne IP auf die selbe wie vorher der Linuxserver hatte, gesetzt damit nicht alle clients das default-gateway neu eintragen müssen.

Die outside-ip ist auch auf unsere statische IP eingetragen, trotzdem bekomme ich zu nichts ausserhalb mit einem Client Verbindung.

Wenn ich Ping von der PIX selbst nach ausserhalb und intern abgebe funktioniert dies.

Als Defaultgateway auf der PIX ist die IP des ISP-Routers eingetragen, auf den Clients die IP der PIX.

Dazu sei noch gesagt das der ausgetauschte Linuxserver bis vor kurzem unser DNS Server war, allerdings läuft dieser jetzt auf einem Windowsserver seit ca. einer Woche ohne Probleme (wobei der Linux-DNS noch parallel lief, aber als DNS nirgends mehr eingestellt war).

Jemand eine Idee, wo ich mit der Fehlerbehebung anfangen sollte ?

Die PiX506e mit Standardeinstellungen sollte ja von intern erstmal alles erlauben, so dass ich auf ein DNS-Problem oder ähnliches tippe aber keine Idee habe wodran es liegt, was meint ihr ?

Link zu diesem Kommentar

hallo,

 

 

irgendwie steh ich wieder auf dem Schlauch,

 

für smtp habe ich die Weiterleitung auf die entsprechende IP gemacht, klappt auch,

der zweite Port muss jedoch auf eine andere IP weitergeleitet werden,

also habe ich für den Port 5003 (hoffentlich) alles identisch gemacht wie von Euch oben beschrieben, nur halt mit der anderen internen IP.

Aber hier verstehe ich die Syntax noch nicht, wie bekomme ich für den neuen Eintrag eine access-group hin, oder muss ich die irgendwie zusammenfassen für das outside interface?

 

Wenn ich eingebe

 

access-group filemaker in interface outside

 

überschreibt diese ja

 

access-group smtp in interface outside

 

wie sage ich der Pix für das outside-interface also zwei verschiedene Ports auf unterschiedliche interne ips :suspect: ?

Irgendwie gibt mir die PIX Syntax Rätsel auf :suspect: .

 

die dazugehörigen access-lists und statics sehen so aus:

 

 

access-list smtp permit tcp any eq smtp host 217.146.123.123 eq smtp

access-list filemaker permit tcp any eq 5003 host 217.123.123 eq 5003

 

 

static (inside,outside) tcp 217.146.123.123 smtp 192.168.13.6 smtp netmask 255.255.255.255 0 0

static (inside,outside) tcp 217.146.123.123 5003 192.168.13.3 5003 netmask 255.255.255.255 0 0

Link zu diesem Kommentar

Du kannst nur eine Accessliste pro Interface haben, deswegen musst du aus den beiden ACLs eine machen z.B.:

 

!
static (inside,outside) tcp 217.146.123.123 smtp 192.168.13.6 smtp netmask 255.255.255.255 0 0
static (inside,outside) tcp 217.146.123.123 5003 192.168.13.3 5003 netmask 255.255.255.255 0 0
!
access-list acl_outside permit tcp any host 217.146.123.123 eq smtp
access-list acl_outside permit tcp any host 217.146.123.123 eq 5003
!
access-group acl_outside in interface outside

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...