onedread 10 Geschrieben 11. Januar 2006 Melden Teilen Geschrieben 11. Januar 2006 HI hab ein problem mit meiner kürzlich erworbenen PIX 501 also ich will von meinem internen netz mit (192.168.1.2-192.168.1.30) pings ins outside netzt machn. das funktioniert soweit gut mit folgender access-list access-list in-out-icmp permit icmp any any access-group in-out-icmp in int out aber, wenn ich nun diese liste aus der access-group rausnimm und nur von einer bestimmten workstation den ping nach aussenzulassen will blockt mit die pix den. access-list in-out-icmp-nbaomsch permit icmp host 192.168.1.2 any access-group in-out-icmp-nbaomsch in int out geht das eben nicht weiss jemand eine lösung für dieses problem? denn eigentlich mach ich ja nix anderes als ihm statt einer range von andressen, ihm eine bestimmte zuweise, das ist ja alles. Mit dank im Voraus OnEdReAd Zitieren Link zu diesem Kommentar
mtf 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Hast du mal ein Show Run gemacht? Dann müsstest du ja die Access-liste wieder schön aufgelistet sehen. Welche Version hast du da drauf? mfg mtf Zitieren Link zu diesem Kommentar
s21it21 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 hallo, ganz einfach: du machst zwei fehler: 1) access-listen für hosts sind immer an dem interface zu binden, wo der traffic als ersters aufschlägt. wenn du also vom privaten-lan (inside-int) raus willst, dann musst du die access-list am internen interface freischalten. bemerkung dazu: das design der pix ist so, dass wenn du gar keine access-list am internen interface gebunden hast, dass prinzipiell JEDER traffic raus darf (ist sec.-technisch sehr schlecht, aber das ist was anderes). ich nehme mal an (wenn ich deine access-lists unten sehe), dass das bei dir der fall ist. 2) icmp behandelt die pix NICHT statefull. das heisst die echo-replies musst du am outside interface extra wieder freischalten. deine freischaltung: access-list in-out-icmp-nbaomsch permit icmp host 192.168.1.2 any besagt, dass traffic vom internet auf 192.168.1.2 erlaubt wird...das ist insofern falsch, da dies ja eine nicht geroutete ip ist. darum bringt diese freischaltung absolut nichts (die privaten ips werden ja von der pix genattet (und auch das kommt darauf an, wie du das eingerichtet hast). wenn du die 501er neu gekaufst hast, ist es so, dass alles hinter der pupip vom outside-interface "versteckt" wird. die freischaltung vorher (access-list in-out-icmp permit icmp any any) ist dabei richtig (wenn auch sehr global). denn da erlaubst du, dass icmp von aussen komplett zur pix herein darf. und das ist genau das, wass du brauchst damit der ping funktioniert (die pix behandelt icmp ja nicht stateful). sinnvollerweise würde ich am outside interface nur echo-replies hereinlassen. wenn du noch fragen hast, dann melde dich einfach. :) lg martin Zitieren Link zu diesem Kommentar
onedread 10 Geschrieben 14. Januar 2006 Autor Melden Teilen Geschrieben 14. Januar 2006 hi ja das hab ich dann auch gecheckt das ich das noch extra am outside port freischaltn muss. ja das mit dem ping is so ne sache ich hab mir die pix zugelegt weil ich mich einfach damit spieln wollt. häng noch nicht im internet dami, hab zurzeit nur mein netz am outside interface hängen und ein notebook an dem switch vo der pix um zu testen und mich mit der konfig vertraut zu machn. ps noch nen fettn dank an alle wegen der hilfe. ciao onedread Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.