PIX 501 Access Rules

[serversnake 10]

Hallo zusammen,

 

liege mit meiner PIX 501 ein wenig im Streit, da Sie mich zwar rausläßt aber von außen nicht rein - oder umgekehrt. Hoffe mir kann jemand helfen.

 

Im einzelnen:

PIX IP outside (fest) xxx.xxx.xxx.xx

PIX IP inside 192.168.1.1

Server IP Inside 192.168.1.99

 

Wenn ich per PDM einstelle, dass alle inside (0.0.0.0) auf outside (xxx.xxx.xxx.xxx) dürfen klappt die Verbindung nach draußen wunderbar. Wenn ich dann eine Access-Rule für outside-inside anlege - will er eine static route haben - und ich kann von draußen da hin, wo ich hin will, aber von inside nicht mehr nach outside.

 

Villeicht ein bißchen einfach geschildert, aber kennt jemand eine Lösung oder hat eine passende Konfiguration schon einmal gemacht und könnte mir diese mal mailen oder erläutern?

 

VD, Basti

[mike1017 10]

Hallo Basti,

 

die Pix arbeitet default mäßig nach folgendem Schema :

 

- Es gibt security Levels pro Interface :

 

Outside interface ist die Verbindung zum SP oder Internet und

hat immer Security Level 0 (d.h. absolut unsecure aus Sicht der

PIX)

 

Inside interface ist das interface ins lokale Netzwerk und hat

immer Security Level 100 (d.h. absolut secure aus Sicht der Pix)

 

Daraus leitet die Pix folgendes regelwerk ab, ohne dass dieses

konfiguriert werden muss :

 

Traffic von inside nach outside immer erlaubt, Traffic von outside

nach inside default mäßig verboten.

 

Wenn eine Verbindung von inside nach outside aufgebaut wird

und es nur eine IP Adresse auf dem outside Interface gibt,

arbeitet die PIX im PAT Modus d.h. Pix ersetzt alle source

Adressen des inside Netzes durch die IP Adresse des outside

interfaces. Daraus läßt sich erklären dass nur Traffic vom

outside interface zum inside interface flißen können die zu einer

Verbindung gehören die vom inside Interface initiiert

wurden (uups... etwas schwierig zu verstehen......)

 

Weitere wichtiger Punkt : Access control listen werden pro

interface zugewiesen und beziehen sich immer auf den incoming

Traffic aus Sicht des Interfaces !!!!!!!!!!

 

Möchtest Du nun eine Verbindung vom outside interface zum

inside Interface erlauben, muss als erstes folgendes gemacht

werden :

 

Ein statisches mapping zwischen einer outside IP Adresse und

einer inside IP Adresse d.h. outside Netwerk 172.168.0.0

inside Netzwerk 10.0.0.0

Mapping muss wie folgt realisiert werden :

Outside IP Adresse 172.168.0.1 zu inside IP Adresse 10.0.0.1

d.h die Verbingung wird nicht von outside zur IP Adresse

10.0.0.1 aufgebaut sondern zur IP Adresse 172.168.0.1 und die

PIX weiß jetzt dass die IP Adresse 10.0.0.1 gemeint ist.

 

Jetzt kommt die Access contol Liste.

In der ACL definierts Du alle permit statements auf die IP

Adresse 172.168.0.1 und bindest diese ACL auf das outside

Interface

 

Dies zum Verständniss.

 

Du kannst den PDM (Pix device Manager verwenden der Dir bei

der konfiguration hilft. Die PIX (PDM) kannst Du aber nur über

das inside interface / die IP Adresse des inside interfaces

erreichen.

 

Anbei noch ein link zu Beispiel Konfigurationen der PIX bei Cisco

 

http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_chapter09186a008008cd36.html

 

Viel Spaß beim konfigurieren

 

Der Mike

[Blacky_24 10]

Original geschrieben von mike1017

Wenn eine Verbindung von inside nach outside aufgebaut wird

und es nur eine IP Adresse auf dem outside Interface gibt,

arbeitet die PIX im PAT Modus d.h. Pix ersetzt alle source

Adressen des inside Netzes durch die IP Adresse des outside

interfaces. Daraus läßt sich erklären dass nur Traffic vom

outside interface zum inside interface flißen können die zu einer

Verbindung gehören die vom inside Interface initiiert

wurden (uups... etwas schwierig zu verstehen......)

 

Im Prinzip völlig richtig, allerdings braucht es trotzdem einen Global und einen NAT-Eintrag, sonst macht die PIX von drinnen nach draussen erstmal garnichts.

 

Alternativ einen Static, aber ohne Public-IPs in entsprechender Anzahl ist der eher sinnfrei.

 

Gruss

Markus

[mike1017 10]

Hallo Team,

 

noch eine Anmerkung.

Mann/Frau kann das Nat`en auch ausschalten in dem

ein NAT 0 statement eingefügt wird, dass der PIX sagt

es muss/soll kein NAT gemacht werden.

 

Dies macht nätürlich nur dann Sinn wenn das outside

Interface für einen Bereich im local LAN konfiguriert werden

soll/muss.

 

Der Mike

[Blacky_24 10]

Im Prinzip hast Du mit Deiner Aussage, dass man NAT gezielt unterdrücken kann, recht.

 

Allerdings hat das nur in bestimmten Fällen Sinn:

- VPN/RAS

- Das innere Netz kann von draussen geroutet werden

 

Letzteres geht per Definition schonmal nicht wenn man drinnen RFC 1918-Adressen und draussen das Internet hat.

 

Die PIX ist eine Firewall und NAT ist ein nicht zu unterschätzendes Sicherheitsmerkmal weil damit der Blick auf den tatsächliche Aufbau des inneren Netzes von draussen zumindest erschwert wenn nicht gar verhindert wird - der draussen kann nur sehen was durch die PIX kommt - und da sieht er nur NAT-Adressen die er i.d.R. nicht eindeutig zuordnen kann.

 

Gruss

Markus

[serversnake 10]

Original geschrieben von mike1017

 

Ein statisches mapping zwischen einer outside IP Adresse und

einer inside IP Adresse d.h. outside Netwerk 172.168.0.0

inside Netzwerk 10.0.0.0

Mapping muss wie folgt realisiert werden :

Outside IP Adresse 172.168.0.1 zu inside IP Adresse 10.0.0.1

d.h die Verbingung wird nicht von outside zur IP Adresse

10.0.0.1 aufgebaut sondern zur IP Adresse 172.168.0.1 und die

PIX weiß jetzt dass die IP Adresse 10.0.0.1 gemeint ist.

 

Jetzt kommt die Access contol Liste.

In der ACL definierts Du alle permit statements auf die IP

Adresse 172.168.0.1 und bindest diese ACL auf das outside

Interface

Der Mike [/b]

 

Hallo Mike,

 

erst einmal danke für die ausführliche Erklärung.

 

Dann hätte ich allerdings noch eine Frage zum "Mapping"!

Was genau bedeutet dies bzw. wo kann ich das im PDM finden?

Muss ich für den zugriff von draußen meine ip (draußen an der pix) auf die ip meines internen z.b. servers setzen - oder outside(any) auf ip meines internen servers? Auf jedenfall will er dann automatisch eine route anlegen (NAT) und in dem interface kann ich nun auch noch einen gateway angeben. muss dort dann die interne ip der pix rein? (sodass er anfragen von außen über die interne pix-ip auf die interne ip des server schleift?).

muss gestehen bin ein wenig verwirrt, denn wenn ich alle einstellungen so mache, wie besprochen, komme ich von außen rauf, aber wie "Blacky_24" gesagt hatte, von innen nicht mehr raus?!?

 

Grüße, Basti

[serversnake 10]

so, zusammen,

 

habe nun folgendes in der commandline ausgeführt

 

static (inside,outside) 194.77.5.214 192.168.1.99 netmask 255.255.255.255

access-list acl_out permit tcp any host 194.77.5.214 eq smtp

access-list acl_out permit tcp any host 194.77.5.214 eq imap4

access-list acl_out permit tcp any host 194.77.5.214 eq http

access-list acl_out permit tcp any host 194.77.5.214 eq https

access-group acl_out in interface outside

 

ergebnis, ich komme von außen rein, juchu ...

... aber von drinnen wieder nicht mehr raus.

 

was genau mache ich nun, oder flasch?

 

es existieren noch folgende access rules:

inside(any) outside(any) tcp

inside(any) outside(any) ip

 

und

 

es existiert noch folgende trans.rule:

interface:inside inside:any/0.0.0.0 -> interface:outside Interface PAT

 

Danke, Basti

[Blacky_24 10]

Hast Du irgendeine Zeile die mit "global ..." anfängt in der Konfig?

 

Hast Du irgendeine Zeile die mit "nat (inside) 1 ..." anfängt in der Konfig?

 

Wenn ja: Bitte posten

 

Wenn nein: Eintragen

 

Noch besser: Ganze konfig posten, Passwörter / PublicIPs raus.

 

Gruss

Markus

[serversnake 10]

Hallo Markus,

 

hier nun die config. Die IPs kann jeder wissen.

 

 

Building configuration...

: Saved

:

PIX Version 6.3(3)

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

hostname pixfirewall

domain-name ciscopix.com

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

access-list inside_access_in permit tcp any any

access-list inside_access_in permit ip any any

access-list acl_out permit tcp any host 194.77.5.214 eq smtp

access-list acl_out permit tcp any host 194.77.5.214 eq imap4

access-list acl_out permit tcp any host 194.77.5.214 eq www

access-list acl_out permit tcp any host 194.77.5.214 eq https

access-list acl_out permit tcp any host 194.77.5.214 eq ftp

access-list acl_out permit tcp any host 194.77.5.214 eq pop3

pager lines 24

mtu outside 1500

mtu inside 1500

ip address outside dhcp setroute

ip address inside 192.168.1.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm location 192.168.1.99 255.255.255.255 outside

pdm location 192.168.1.99 255.255.255.255 inside

pdm logging informational 100

pdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside,outside) 194.77.5.214 192.168.1.99 netmask 255.255.255.255 0 0

access-group acl_out in interface outside

access-group inside_access_in in interface inside

timeout xlate 0:05:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

aaa-server LOCAL protocol local

http server enable

http 192.168.1.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd address 192.168.1.2-192.168.1.129 inside

dhcpd dns 213.148.130.10 213.148.129.10

dhcpd lease 3600

dhcpd ping_timeout 750

dhcpd auto_config outside

dhcpd enable inside

terminal width 80

: end

[OK]

[serversnake 10]

oder vielleicht doch so?

 

geändert ist static (inside,outside) auf static (outside,inside), da

in einem bespiel high und dann low stan?!?

 

Building configuration...

: Saved

:

PIX Version 6.3(3)

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

hostname pixfirewall

domain-name ciscopix.com

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

access-list inside_access_in permit tcp any any

access-list inside_access_in permit ip any any

access-list acl_out permit tcp any host 194.77.5.214 eq www

pager lines 24

mtu outside 1500

mtu inside 1500

ip address outside dhcp setroute

ip address inside 192.168.1.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm location 192.168.1.99 255.255.255.255 outside

pdm location 192.168.1.99 255.255.255.255 inside

pdm location 194.77.5.214 255.255.255.255 outside

pdm logging informational 100

pdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (outside,inside) 192.168.1.99 194.77.5.214 netmask 255.255.255.255 0 0

access-group acl_out in interface outside

access-group inside_access_in in interface inside

timeout xlate 0:05:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

aaa-server LOCAL protocol local

http server enable

http 192.168.1.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd address 192.168.1.2-192.168.1.129 inside

dhcpd dns 213.148.130.10 213.148.129.10

dhcpd lease 3600

dhcpd ping_timeout 750

dhcpd auto_config outside

dhcpd enable inside

terminal width 80

: end

[OK]

[Blacky_24 10]

Was ich da nicht verstehe: Du setzt den Global aufs Interface - das macht man normalerweise wenn man nur eine dynamische PublicIP hat - z.B. wenn die PIX an einem T-DSL hängt. Andererseits is kein DialUp konfiguriert - und Du hast eine öffentliche IP die Du per Static auf eine interne Adresse routest?

 

Hast Du ein öffentliches Netz von dem man zwei oder drei Adressen verwenden kann?

 

Gruss

Markus

[serversnake 10]

Hallo Markus,

 

habe mehrere IPs, jedoch sind diese bereits benutzt, für sdsl-knoten, router - und die letzte dann für den server.

 

was ich nicht verstehe, ist die verbindung der access-rules zu den trans-rules.

 

wenn ich eine access rule anlege von any zu meiner server ip, dann muss ich eine statische route definieren. die schreibt mir vor, dass als basis die server-ip genommen wird. heißt aber, dass ich nach beendigung des assis zwei trans-rules habe, wobei eine static die andere dyn ist. die dyn wird ignóriert und somit komme ich zwar rein aber nicht raus.

wenn ich nun über den command "no static" mache, ist sie weg, der zugriff von drau0en und von drinnen funktioniert, aber in der acces-rule steht dann (null rule) - warum? bzw. was muss ich da dann drehen?

 

verzweifel, basti