Jump to content
Sign in to follow this  
Herbert Leitner

Cisco Pix 501 Firewall: Link Aggregation oder was?

Recommended Posts

Hallo!

 

Ich habe ein paar Cisco PIX 501 Firewalls in Verwendung und ein Problem mit der Konfiguration.

 

Vielleicht kennt das jemand und kann mir helfen. Wenn ich mich unpräzise ausdrücke, dann bitte ich um Verständnis.

 

Meine Server beginnen z.B: bei 192.168.0.8 / 24 und enden bei 192.168.0.15. Damit kann ich mit einer Regel alle meine Server erreichen:

192.168.0.8 / 29 (255.255.255.248) (von 192.168.0.8 - 192.168.0.15)

 

Ich habe also Regeln (welche auch immer), die auf 192.168.0.8 / 29 adressieren.

 

Nun möchte ich auch Regeln verwenden, die sich auf einzelne Hosts beziehen, also /32 (=255.255.255.255).

Das ist solange kein Problem, solange ich in der Regel nicht die 192.168.0.8/32 verwende.

 

Nun wird mir jeder zustimmen, daß

192.168.0.8 / 29 ein Subnetz ist, und

192.168.0.8 / 32 ein Host ist, und eines das andere nicht auschließt.

 

Nun habe ich die leidige Sache, daß die Cisco Pix 501 ein Problem damit hat, wenn es einen Host gibt, der zu Beginn eines Subnetzes steht und beide mit unterschiedlichen Regeln verwendet wird.

 

Die Pix vergibt z.B für 192.168.0.8 einen Namen und unterschiedet ab dem Zeitpunkt nicht zwischen /29 und /32.

Ich verstehe nicht warum das so ist.

 

Warum sollt es nicht möglich sein, eine Regel zu haben die sich auf 192.168.0.8 / 29 bezieht, und eine andere, die sich auf den Host 192.168.0.8 bezieht.

 

Bin ich der einzige, der sich mit so trivialen Sachen rumägert?

 

Wer kann helfen?

Ich hatte ein SupportPack von Cisco gekauft, und übersehen, daß ich es aktiviere - damit war die Ausgabe beim Fenster raus geschmissen!

 

Tks!

Herbert

Share this post


Link to post
Share on other sites

Hallo,

 

Bei der PIX ist das so:

 

Mit dem "name"-Befehl kannst Du für eine IP-Adresse einen Namen vergeben. Dabei ist es unwichtig ob das ein Host oder ein Netz ist. Dies wird dann erst bei der wirklichen "access-list" vergeben (mit eben netmask). Somit ist der "name"-Eintrag einfach nur ein Mapping zwischen Namen und "irgendeinem Objekt".

 

Also mir ist nicht bekannt, dass das bei der PIX ein Problem sein sollte. Dieser ist es komplett egal, ob Du einmal den Host oder das Netz meinst. Kann es sein, dass das Problem wo anders liegt? Poste mal diese zwei Access-Listen genau, dann kann man vielleicht mehr sagen.

 

lg

Martin

Share this post


Link to post
Share on other sites

Hallo!

 

Ich mach die Konfiguration der PIX mit dem PDM weil ich es nicht schaffen würde, die Konfiguration selbst rein zu schreiben. Das sind doch jeweils an die 100 - 200 Zeilen "Code".

 

Mich wundert aber, daß da noch niemand drüber gefallen ist. Ich habe das reproduzierbar bei allen meinen Geräten gesehen.

 

Immer die letzte Änderung überschreibt alle vorigen, auch wenn sich diese eigentlich nicht in die Quere kommen.

Ich meine das so: Mache ich als letztes eine Regel die sich auf den Host 192.168.0.8/32 bezieht, werden alle anderen Regeln von 192.168.0.8/29 auf 192.168.0.8/32 geändert.

 

Mache ich dann wieder eine Regel auf 192.168.0.8/29, dann werden alle Regelen von 192.168.0.8/32 auf 192.168.0.8/29 erweitert.

 

Wie gesagt, ich mach das mit dem PDM, vermutlich könnte ich das Problem umgehen, wenn ich die Konfiguration selbst schreiben würde. Da müßte ich mich aber erst richtig einarbeiten - es ist ein weites Feld.

 

Dank Dir!

Herbert

Share this post


Link to post
Share on other sites

Hallo Herbert!

 

Jetzt weisst Du warum der PDM ein Schrott ist. :)

 

Normalerweiser kann man das mit dem access-listen sehr wohl realisieren. Wie gesagt der PIX ist es egal, was Du machst (bis zu einem gewissen Grad).

 

lg

Martin

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...