Jump to content
Sign in to follow this  
Litotes

Access Groups editieren

Recommended Posts

Hallo,

 

ich beschäftige mich gerade ganz neu mit Cisco Firewalls und deren CLI.

Wie kann ich einzelene Einträge in den Access-listen oder Access-groups löschen?

und 2. versuche ich gerade bei einer Cisco PIX 506 E ein FTP-Server von aussen verfügbar zu machen. Stimmt es, dass die IP des Outside-Interfaces auf dem die FTP verbimndung ankommt nicht im Pool enthalten sein darf?

 

Hier die config:

PIX Version 6.3(1)

interface ethernet0 auto

interface ethernet1 auto

nameif ethernet0 outside security0

nameif ethernet1 inside security100

hostname pixfw

domain-name xxx.xx

clock timezone CEST 1

clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol ils 389

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

names

object-group service Mailserver tcp

description All Services used on Mailserver

port-object eq www

port-object eq https

port-object eq smtp

port-object eq imap4

object-group service VPN_Server tcp

description Services Used on VPN Servers (currently only pptp)

port-object eq pptp

access-list inside_outbound_nat0_acl permit ip 192.168.0.0 255.255.255.0 192.168

.0.0 255.255.255.0

access-list acl_outside permit tcp any host xxx.xxx.xxx.xxx eq ftp

access-list inside_access_in permit tcp any any

access-list inside_access_in permit udp any any

pager lines 24

logging on

logging timestamp

logging console emergencies

logging buffered informational

logging trap warnings

logging facility 21

logging queue 3

logging host inside 192.168.0.143

mtu outside 1500

mtu inside 1500

ip address outside xxx

ip address inside 192.168.0.13 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

ip local pool PPTP_KS 192.168.0.213-192.168.0.230

global (outside) 1 213.23.102.211

nat (inside) 0 access-list inside_outbound_nat0_acl

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

access-group inside_access_in in interface inside

route outside 0.0.0.0 0.0.0.0 213.23.102.209 1

timeout xlate 0:05:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

http server enable

http 192.168.0.143 255.255.255.255 inside

http 192.168.0.0 255.255.255.0 inside

http 0.0.0.0 0.0.0.0 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

sysopt connection permit-pptp

sysopt ipsec pl-compatible

telnet timeout 5

ssh 192.168.0.0 255.255.255.0 inside

ssh timeout 60

management-access inside

console timeout 0

vpdn enable outside

 

 

 

Danke und Gruß

Share this post


Link to post
Share on other sites

Es gibt 2 arten von access-listen

 

Bezeichnung per Nummer

 

Standard access-list (1-99)

Erweitert access-list (100-199)

 

Bezeichnung per Namen

 

Standard ip access-list standard Name

Erweitert ip access-list extended Name

 

Wie kann ich einzelene Einträge in den Access-listen oder Access-groups löschen?

 

man kann einzelne Einträge in den Access-listen nur dann löschen wenn sie mit "Bezeichnung per Namen" estellt sind

 

Vorsicht

 

bei access-listen "Bezeichnung per Nummer" wird die komplette access liste gelöscht.

Share this post


Link to post
Share on other sites

hello,

 

 

wenn du mehrere access-listen hast zb.:

 

access-list outside_Interface permit tcp host x host y eq 80

access-list outside_Interface permit tcp host v host z eq 443

usw.

 

du kannst die einzelnen access-listen nur so bearbeiten, indem du die zu erst löschst und dann eben neu anlegst (mit den neuen parametern).

 

zu deinem zugriff auf den ftp-server.

generell sollte es so sein, dass die pup-ip der firewall nur für die firewall ist (zumindest in grösseren umgebungen). wenn services, wie in deinem fall, von aussen verfügbar sein sollten, dann sollte eine weitere pupip genommen werden.

 

wenn du das nicht kannst, weil du einfach nur eine einzige pupip zur verfügung hast, dann geht das trotzdem.

 

ABER: dabei musst du aufpassen, dass du beim static-befehl den port genau mit angibst. nur dann funktioniert das. gibst du den port nicht an, so geht nichts mehr (diesen fall hatte ich schon öfters bei kunden).

 

meine bevorzugten versionen sind also:

 

1) pupip der firewall wird für nichts anders benutzt

2) wenn es nicht anders geht, dann eben static-einträge mit den entsprechenden port-parametern mitangeben.

 

lg

martin

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...