123 10 Geschrieben 25. Oktober 2009 Melden Teilen Geschrieben 25. Oktober 2009 Hallo, ich bin zur Zeit dabei, eine Pix Firewall zu installieren, allerdings gibt es da ein paar Hindernisse. Die PPPoe verbindung besteht soweit laut: "sh vpdn", nur kann ich von dem Inside Interface, keine IP Adresse im Outside interface pingen. Die Konfig befindet sich zur Zeit noch ziemlich auf den Stand des Auslieferungszeit Punktes, denn ich wollte erst einmal eine erfolgreiche Internet-Verbindung aufbauen. Und hier ist sie meine Konfig: wr t Building configuration... : Saved : PIX Version 6.3(3) interface ethernet0 100full interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password 000 encrypted passwd 000 encrypted hostname domain-name ciscopix.com fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside pppoe setroute ip address inside 172.16.10.5 255.255.0.0 ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 0 0 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable telnet 172.16.0.0 255.255.0.0 inside telnet timeout 5 ssh timeout 5 console timeout 0 vpdn group 000 request dialout pppoe vpdn group 000 localname 000 vpdn group 000 ppp authentication pap vpdn username 000 password ********* terminal width 80 Cryptochecksum:cf5c3e9d728964f1a01d1346ecb2f05e : end [OK] Freue mich auf euere Rückmeldungen. Mit besten Grüßen 123 Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 25. Oktober 2009 Melden Teilen Geschrieben 25. Oktober 2009 Hi, das ist richtig - default mässig wird ICMP geblockt (aber nicht der abgehende - sondern die Antwort Pakete) - versuch einfach mal zu surfen (aber nimm nicht die PIX als DNS Server - die macht dat nett). Zitieren Link zu diesem Kommentar
123 10 Geschrieben 26. Oktober 2009 Autor Melden Teilen Geschrieben 26. Oktober 2009 Du hattest recht, ich hatte einen nicht mehr aktivien DNS-Server an den Clients weitergegeben gehabt, soweit funktioniert der Zugang zum Internet jetzt. Nun habe ich aber versucht, ein Port redirect durchzuführen auf einen internen Mail-Server, nur leider ohne Erfolg. Vielleicht könnte sich jemmand die Konfig noch einmal anschauen. Meine Konfig: : : Saved : PIX Version 8.0(4) ! hostname enable password encrypted passwd encrypted names ! interface Ethernet0 nameif outside security-level 0 ip address pppoe setroute ! interface Ethernet1 nameif inside security-level 100 ip address 172.16.10.5 255.255.0.0 ! ftp mode passive access-list 102 extended permit tcp any host 172.16.10.10 eq smtp pager lines 24 mtu inside 1500 mtu outside 1500 icmp unreachable rate-limit 1 burst-size 1 icmp deny any outside no asdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 static (inside,outside) tcp interface smtp 172.16.10.10 smtp netmask 255.255.255.255 access-group 102 in interface outside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute dynamic-access-policy-record DfltAccessPolicy no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet 172.16.0.0 255.255.0.0 inside telnet timeout 5 ssh timeout 5 console timeout 0 vpdn group 000 request dialout pppoe vpdn group 000 localname 000 vpdn group 000 ppp authentication pap vpdn username 000 password 000 threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:098a028d5be9ddbf11e2bd9642fd66d2 : end [OK] Mit besten Grüßen 123 Zitieren Link zu diesem Kommentar
MYOEY 10 Geschrieben 26. Oktober 2009 Melden Teilen Geschrieben 26. Oktober 2009 Hi, Der Access-list Eintrag sollte meiner Meinung folgendermaßen aussehen: access-list 102 extended permit tcp any interface outside eq smtp Gruß Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 26. Oktober 2009 Melden Teilen Geschrieben 26. Oktober 2009 Stimme ich dir @myoey vollkommen zu.. Zitieren Link zu diesem Kommentar
123 10 Geschrieben 26. Oktober 2009 Autor Melden Teilen Geschrieben 26. Oktober 2009 (bearbeitet) Ich bin begeistert, es funktioniert tatsächlich. Nun muss ich lediglich, dass ganze noch auf den Host 172.16.10.10 begrenzen. Vielen Dank Mit besten Grüßen 123 EDIT: Korrigiert mich bitte wenn ich falsch liegen sollte, aber ich brauche in der ACL gar kein Host zu definieren, da das bereits die Static-Route übernimmt. Es ist anscheinend schon ein wenig zu spät für mich... bearbeitet 26. Oktober 2009 von 123 Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 26. Oktober 2009 Melden Teilen Geschrieben 26. Oktober 2009 du bindest ja in der "Static" den Port der 172.16.10.10 an das "Outside" Interface - deswegen kommt man da auch nur hin - wenn man von aussen auf den Port des Outside das ganze zuläßt. Das ganze ist so sauber. Zitieren Link zu diesem Kommentar
123 10 Geschrieben 27. Oktober 2009 Autor Melden Teilen Geschrieben 27. Oktober 2009 Jetzt habe ich noch ein Problem und zwar versuche ich jetzt, den internen Traffic nach außen teilweise zu blockieren. Das habe ich wie folgt versucht anzustellen: object-group service tcpout tcp port-object eq 80 port-object eq 443 object-group service udpout udp port-object eq 53 port-object eq 123 object-group service tcpout-server tcp port-object eq 25 access-list 100 extended permit udp any any object-group udpout access-list 100 extended permit tcp any any object-group tcpout access-list 100 extended permit tcp 172.16.10.10 255.255.0.0 any object-group tcpout-server access-list 100 extended deny ip any any access-group 100 in interface inside Nur leider wird alles blockkiert. Ich habe mich zwar schon mit den Anleitungen von Cisco angefreundet, aber ich kommen noch nicht wirklich auf den grünen Pfad. Mit besten Grüßen 123 Zitieren Link zu diesem Kommentar
MYOEY 10 Geschrieben 29. Oktober 2009 Melden Teilen Geschrieben 29. Oktober 2009 Hi, den letzen Eintrag in deiner ACL "access-list 100 extended deny ip any any" brauchst du nicht! Also den Eintrag rausnehmen und dann noch mal ausprobieren! Gruß Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.