Zodiac 10 Geschrieben 13. September 2005 Melden Teilen Geschrieben 13. September 2005 Hi Leute, habe mal eine totale Anfängerfrage. Ich besitze eine Cisco Pix 501 mit einem Inside (192.168.1.1) und einem outside (111.111.111.111) Interface. Kann ich der Firewall über den Befehl global (outside) 2 111.111.111.112 eine zusätzliche IP-Adresse zusätzlich zu dem outside Interface hinzufügen? Ich möchte nämlich über die Inteface-Adresse ins Internet und über die 2te IP-Adresse eine Weiterleitung an einen Webserver machen. Ist sowas überhaupt möglich, oder brauche ich mehrere Interfaces dafür? Danke Gruß Knaur@gmx.de Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 18. September 2005 Melden Teilen Geschrieben 18. September 2005 Hi Ich weiss nicht wie die Vorgehensweise bei der PIX aussieht, aber dein Ansatz ist bei anderen Firewalls üblich. Gruss Velius Zitieren Link zu diesem Kommentar
Zodiac 10 Geschrieben 18. September 2005 Autor Melden Teilen Geschrieben 18. September 2005 Danke schön. ;) Gruß Zodiac Zitieren Link zu diesem Kommentar
lacher 10 Geschrieben 19. September 2005 Melden Teilen Geschrieben 19. September 2005 Hoi, Versuchs mal über das virtual-command [no] virtual virtual_name | virtual_ip [:[virtual_port]:[bind-id]:[protocol]:[rule_name]] [service-state] http://www.cisco.com/en/US/products/hw/contnetw/ps1894/prod_release_note09186a00800f8951.html#xtocid18 Zitieren Link zu diesem Kommentar
s21it21 10 Geschrieben 20. September 2005 Melden Teilen Geschrieben 20. September 2005 Hallo, ALso wenn Du einen Server, der in Deinem LAN steht im Internet erreichbar machen willst, dann ist Dein Ansatz völlig falsch!!!! Dies realisierst Du mit einem Static-EIntrag und einer Access-List. Der Static macht die Verbindung pupIP und privater IP vom Webserver, die Access-liste, die am externen Interface anliegt, macht dann die pupIP des Webservers erreichbar. static (dmz,outside) pupIP privIP netmask 255.255.255.255 oder eben static (inside,outside) pupIP, privIP netmask 255.255.255.255 dann eine access-liste am outside interface machen, und fertig.... lg martin Zitieren Link zu diesem Kommentar
Zodiac 10 Geschrieben 20. September 2005 Autor Melden Teilen Geschrieben 20. September 2005 Hi, erstmal danke für den Tip lacher. Danke auch an Martin. Ich würde gerne folgendes tun Martin. Ich möchte z.B. 3 Webserver im Internet zur Verfügung stellen. Natürlich sollen alle über Port 80 erreicht werden. ;-) Das Problem welches ich jetzt habe dürfte Dir klar sein. Wenn ich der Firewall jetzt nur eine öffentliche IP zuweisen kann, dann habe ich ein großes Problem. Es kann ja nicht sein, daß man der Firewall nur eine öffentliche IP pro Interface zuweisen kann. Alleine mit einer Pix 535 kann man höchstens nur 10 Interfaces einbauen wobei eins als Inside fungieren muß. Dann könnte ich der Firewall nur 9 öffentliche Ip-Adressen zuweisen. Es muß doch noch eine andere Möglichkeit geben. Momentan hatte ich auch nicht wirklich Zeit um mich um diese Angelegenheit zu kümmern. Mußte noch andere Sachen erledigen. :D Bin jetzt mal für jeden Tip dankbar. :) Gruß Zodiac Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 21. September 2005 Melden Teilen Geschrieben 21. September 2005 Wie erwähnt, auf einer Check Point würde es zwei Varianten geben, aber beide führen darauf hinaus das eine zweite IP (in deinem Fall wären es bis zu vier) auf dieselbe MAC Adresse gebunden wird. Eine andere Lösung wäre ein Reverse Proxy, wo man, so glaube ich, sogar nach URL's umleiten kann. Trotzdem wäre dafür mindestens eine zweite IP von nöten. Zitieren Link zu diesem Kommentar
Pretender 10 Geschrieben 21. September 2005 Melden Teilen Geschrieben 21. September 2005 Hängt vor der PIX noch ein Router? Wenn ja, dann leite alles was an deine öffentlichen IP's geht auf die PIX weiter. Und dort einfach für jede öffentliche IP einen Static Eintrag auf den jeweiligen Webserver setzen. Ob die PIX nur ein ext. Interface hat mit einer öffentlichen IP ist eigentlich egal. Wenn nein, dann mach es genauso. Zitieren Link zu diesem Kommentar
s21it21 10 Geschrieben 21. September 2005 Melden Teilen Geschrieben 21. September 2005 Hallo! Dein Problem ist ganz einfach gelöst. Es geht nicht darum, dass Du dem Interface mehrere IPs gibst, das ist nicht nötig bzw. unsinnig (selbst auf der Checkpoint. Nur weil das funktioniert, heisst das noch lange nicht, dass das der richtige Ansatz ist). Bei der Checkpoint löst man das mit static-NATs und proxy-arps. Auf der PIX macht man das eben mit statics. Wenn Du von Deinem Provider 10 IPs bekommen hast, dann geht das ganz einfach und genau so: Eine IP bekommt Deine PIX (also das Interface selbst das im Internet hängt). Die restlichen IPs wird Dein Provider sicher direkt zu Dir routen. So, nun musst Du die PIX dazu bewegen, dass sie auf weitere pupIPs reagiert (damit Du das dann intern auf die Webserver weiterleiten kannst). Und genau das macht eben der static Befehl. Der static-Befehl bewirkt, dass sich die PIX für die angegebenen pupIPs "meldet" (also arp-requests beantwortet) und dann den Datenverkehr weiterleitet (wenn es auch einen Access-list gibt). Wenn Du jetzt drei Interfaces hast (Internet-outside, DMZ, locallan) und Deine Webserver stehen in der DMZ, dann geht das so: static (dmz,outside) pupIP dmzIP Schau Dir die Syntax vom Static-Befehl an, dann ist Dir das klar. Mit der Access-liste am Outside-Interface schaltest Du dann den Traffic wirklich frei. Mit dem static-Befehl könntest DU dann auch noch Portumleitungen realisieren (also wenn DU nur eine pupIP hast aber trotzdem mehrer Server). Wie gesagt, alle anderen Lösungen mögen zwar funktionieren sind aber aus Security-Sicht unsauber und nicht üblich. lg Martin Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 21. September 2005 Melden Teilen Geschrieben 21. September 2005 @s21it21 Bei einem static-NAT wird aber trotzdem eine zweite IP an die MAC gebunden. Ausserdem hast du das ja schon selbst bemerkt: Und genau das macht eben der static Befehl. Der static-Befehl bewirkt, dass sich die PIX für die angegebenen pupIPs "meldet" (also arp-requests beantwortet) und dann den Datenverkehr weiterleitet (wenn es auch einen Access-list gibt). Zitieren Link zu diesem Kommentar
Zodiac 10 Geschrieben 21. September 2005 Autor Melden Teilen Geschrieben 21. September 2005 Cool, danke schön Leute, dann habe ich jetzt was zum testen. :D Gruß Zodiac Zitieren Link zu diesem Kommentar
s21it21 10 Geschrieben 22. September 2005 Melden Teilen Geschrieben 22. September 2005 Hallo! Ja natürlich wird eine zweite IP an das Interface gebunden. Aber der Ansatz vom Befehl/Denkweise ist ein anderer. Ich wollte damit sagen, dass man, wie auch auf der Checkpoint das mit NATs, das eben auf der PIX mit statics löst/lösen sollte und nicht anders. LG Martin Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 22. September 2005 Melden Teilen Geschrieben 22. September 2005 Hi Ich weiss nicht wie die Vorgehensweise bei der PIX aussieht, aber dein Ansatz ist bei anderen Firewalls üblich. Gruss Velius :thumb1: Alles klar, ich wollte das auch nur vom Prinzip her veranschaulichen. Wie das auf der PIX läuft weiss ich ja wie oben erwähnt nicht. ;) Gruss Velius Zitieren Link zu diesem Kommentar
maho 10 Geschrieben 23. September 2005 Melden Teilen Geschrieben 23. September 2005 jetzt gebe ich auch mal mein Senf dazu. Wenn Du z.B. 50 öffentl. IP's zur Verfügung hast, dann kannst Du auch 50 Webserver mit der PIX veröffentlichen (jetzt mal reine Theorie ohne an die Perfomance zu denken). Du "nattest" (static) die privaten Adressen in die öffentlichen und gibst jedem der Server Port 80 frei (ACL). Zu Testzwecken kannst Du, wenn Du nur eine öffentl. IP hast, mit Portweiterleitung arbeiten. Server 2 mit Port 8000 erreichbar, Server 3 mit Port 8001, usw. Dann sind die Server aus dem Internet mit den entsprechenden Ports erreichbar (http://111.111.111.111:8000/) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.