Jump to content
Sign in to follow this  
Iceman75

PIX Firewall 506

Recommended Posts

Hi, habe eine PIX Firewall 506. Soll probieren ob mit dieser und nem Modem per DSL ins Netz kommt.

 

Frage: Wie kann ich auf der PIX die IP ADressen festlegen??? Habe versucht mich anhand der CCNA2 Befehlstabelle da durch zu forsten komme aber zu keinem Ergebnis. Bin totaler Neuling im bezug auf CISCO(Password Rec und Softwareupgrade habe ich schon durchgeführt)

 

Danke

 

mfg

 

ice

Share this post


Link to post
Share on other sites

ALso hier mal eine Hilfe für dein DSL Problem aber um es vorweg zunehmen kann ich Wordo blos zustimmen du brauchst ein PIx doku Mit IOs kommst du nicht weit auch wenn dir dei folgenden Zeilen ins www verhelfen.

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

ip address outside pppoe setroute

ip address inside xxx.xxx.xxx.xxx 255.255.255.0 (das Netz was innen ereichbar sein soll)

nat (inside) 1 xxx.xxx.xxx.xxx 255.255.255.0 0 512 (wieder das inside Netz)

global (outside) 1 interface

vpdn group ISP request dialout pppoe

vpdn group ISP localname xxxxxxxxxxxxxxxx@t-online.de (DSL Kennung)

vpdn group ISP ppp authentication pap

vpdn username xxxxxxxxxxxxxxxx@t-online.de password ********* store-local

 

 

so das sollte zzum Erfolg führen , wenn ich irgend was vergessen habe must nochmal deine config Posten bitte

Share this post


Link to post
Share on other sites

interface ethernet0 10baset

interface ethernet1 10baset

nameif ethernet0 outside security0

nameif ethernet1 inside security100

global (outside) 1 xxx.xxx.xxx.x-xxx.xxx.xxx.x

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

vpdn group pppoex request dialout pppoe

vpdn group pppoex localname xxxxxxxxxxx

vpdn group pppoex ppp authentication pap

vpdn username xxxxxxxxx password *********

Share this post


Link to post
Share on other sites

access-list inside_nat0_outbound permit ip XXX.XXX.XXX.XXX (indide Netz) 255.255.255.0 any

nat (inside) 0 access-list inside_nat0_outbound

 

willst du das inside Netz naten oder willst du nur internet acces nach draußen

Share this post


Link to post
Share on other sites

also poste mal meine config

 

mein rechern hat die 1.10, gateway und DNS hab ich die 1.3 genommen. Hoffe das ich das so richtig gemacht habe.

 

PIX Version 6.3(5)

interface ethernet0 10baset

interface ethernet1 10baset

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password 2KFQnbNIdI.2KYOU encrypted

passwd 2KFQnbNIdI.2KYOU encrypted

hostname azubi-pix

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

no fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

pager lines 24

logging on

logging timestamp

logging buffered debugging

logging trap notifications

logging history informational

logging facility 19

logging host inside 10.1.1.2

mtu outside 1500

mtu inside 1500

ip address outside pppoe

ip address inside 192.168.1.3 255.255.255.0

ip audit name attack-inside attack action alarm drop reset

ip audit name attack-outside attack action alarm drop reset

ip audit interface outside attack-outside

ip audit interface inside attack-inside

ip audit info action alarm

ip audit attack action alarm drop reset

pdm history enable

arp timeout 14400

nat (inside) 1 192.168.1.0 255.255.255.0 0 0

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout sip-disconnect 0:02:00 sip-invite 0:03:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server TACACS+ max-failed-attempts 3

aaa-server TACACS+ deadtime 10

aaa-server RADIUS protocol radius

aaa-server RADIUS max-failed-attempts 3

aaa-server RADIUS deadtime 10

aaa-server LOCAL protocol local

no snmp-server location

no snmp-server contact

snmp-server community firewire

no snmp-server enable traps

tftp-server inside 10.1.1.2 pix-lt.cis

no floodguard enable

telnet timeout 5

ssh timeout 5

console timeout 0

vpdn group ISP request dialout pppoe

vpdn group ISP localname xxxx

vpdn group ISP ppp authentication chap

vpdn username xxxxxxxx password *********

username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 2

terminal width 80

Cryptochecksum:8ad6d100d7af6c80cf13f3799d3e2057

: end

[OK]

Share this post


Link to post
Share on other sites
dann sollte die nat 0 ACL reichen wenn nicht mal ein debug machen und schauen was geblockt wird

 

Eigentlich kann man davon ausgehen, dass er intern ein privates Netz hat. Da wird man mit nat 0 nicht weiterkommen.

 

Am einfachsten wäre wohl:

global (outside) 1 interface
nat (inside) 1 0 0

 

Wen der ausgehende traffic über ACL´s erfolgen soll, wird im nat-Befehl der ACL-Name angegeben und vorher die entsprechende ACL dann konfiguriert.

 

Aber wie schon mehrfach gesagt: nimm Dir das manual und arbeite Dich ein, sonst wird´s nichts!

Share this post


Link to post
Share on other sites

vielleicht nochmal zu Ausgangslage:

 

Soll halt versuchen per PIX und DSL Modem ne Verbindung ins Internet hinzubekommen. Haben hier einen ganz normalen DSL anschluß und versuche halt über nen Notebook - PIX - Modem ins Internet zu kommen.

Share this post


Link to post
Share on other sites

War mir eigentlich klar, aber ohne Route und NAT wirst Du es nicht schaffen...und für weitere Konfigurationen vor allem nicht ohne manual!!!!

Share this post


Link to post
Share on other sites

na manual habe ich ja. also fehlt nur nat und Route in meiner config???

 

ip address outside pppoe

ip address inside 192.168.1.3 255.255.255.0

ip audit name attack-inside attack action alarm drop reset

ip audit name attack-outside attack action alarm drop reset

ip audit interface outside attack-outside

ip audit interface inside attack-inside

ip audit info action alarm

ip audit attack action alarm drop reset

pdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

timeout xlate 3:00:00

Share this post


Link to post
Share on other sites
na manual habe ich ja. also fehlt nur nat und Route in meiner config???

 

ip address outside pppoe setroute

ip address inside 192.168.1.3 255.255.255.0

ip audit name attack-inside attack action alarm drop reset

ip audit name attack-outside attack action alarm drop reset

ip audit interface outside attack-outside

ip audit interface inside attack-inside

ip audit info action alarm

ip audit attack action alarm drop reset

pdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

timeout xlate 3:00:00

 

siehe oben

Share this post


Link to post
Share on other sites

Die antwort von Hegl mit den beiden lines funzt ebenso.

aber du hast noch keinen DNS konfiguriert

 

und füge mal bitte noch diese Zeile zu

ip address outside pppoe setroute

 

teste mal ob du von der pix aus mit "ping outside ein öffentliche IP deiner Wahl" raus kommst und dann ein ping vom host aus wenn der ping geht kannst du auf dem host zum testen mal einen puplic DNS eintragen und schauen was passiert

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...