Jump to content

Access Groups editieren

Litotes

Von Litotes
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Litotes Explorer

Litotes   10

Geschrieben
Geschrieben

Hallo,

 

ich beschäftige mich gerade ganz neu mit Cisco Firewalls und deren CLI.

Wie kann ich einzelene Einträge in den Access-listen oder Access-groups löschen?

und 2. versuche ich gerade bei einer Cisco PIX 506 E ein FTP-Server von aussen verfügbar zu machen. Stimmt es, dass die IP des Outside-Interfaces auf dem die FTP verbimndung ankommt nicht im Pool enthalten sein darf?

 

Hier die config:

PIX Version 6.3(1)

interface ethernet0 auto

interface ethernet1 auto

nameif ethernet0 outside security0

nameif ethernet1 inside security100

hostname pixfw

domain-name xxx.xx

clock timezone CEST 1

clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol ils 389

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

names

object-group service Mailserver tcp

description All Services used on Mailserver

port-object eq www

port-object eq https

port-object eq smtp

port-object eq imap4

object-group service VPN_Server tcp

description Services Used on VPN Servers (currently only pptp)

port-object eq pptp

access-list inside_outbound_nat0_acl permit ip 192.168.0.0 255.255.255.0 192.168

.0.0 255.255.255.0

access-list acl_outside permit tcp any host xxx.xxx.xxx.xxx eq ftp

access-list inside_access_in permit tcp any any

access-list inside_access_in permit udp any any

pager lines 24

logging on

logging timestamp

logging console emergencies

logging buffered informational

logging trap warnings

logging facility 21

logging queue 3

logging host inside 192.168.0.143

mtu outside 1500

mtu inside 1500

ip address outside xxx

ip address inside 192.168.0.13 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

ip local pool PPTP_KS 192.168.0.213-192.168.0.230

global (outside) 1 213.23.102.211

nat (inside) 0 access-list inside_outbound_nat0_acl

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

access-group inside_access_in in interface inside

route outside 0.0.0.0 0.0.0.0 213.23.102.209 1

timeout xlate 0:05:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

http server enable

http 192.168.0.143 255.255.255.255 inside

http 192.168.0.0 255.255.255.0 inside

http 0.0.0.0 0.0.0.0 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

sysopt connection permit-pptp

sysopt ipsec pl-compatible

telnet timeout 5

ssh 192.168.0.0 255.255.255.0 inside

ssh timeout 60

management-access inside

console timeout 0

vpdn enable outside

 

 

 

Danke und Gruß

Link zu diesem Kommentar
loopback_28 Community Regular

loopback_28   10

Geschrieben
Geschrieben

Es gibt 2 arten von access-listen

 

Bezeichnung per Nummer

 

Standard access-list (1-99)

Erweitert access-list (100-199)

 

Bezeichnung per Namen

 

Standard ip access-list standard Name

Erweitert ip access-list extended Name

 

Wie kann ich einzelene Einträge in den Access-listen oder Access-groups löschen?

 

man kann einzelne Einträge in den Access-listen nur dann löschen wenn sie mit "Bezeichnung per Namen" estellt sind

 

Vorsicht

 

bei access-listen "Bezeichnung per Nummer" wird die komplette access liste gelöscht.

Link zu diesem Kommentar
s21it21 Community Regular

s21it21   10

Geschrieben
Geschrieben

hello,

 

 

wenn du mehrere access-listen hast zb.:

 

access-list outside_Interface permit tcp host x host y eq 80

access-list outside_Interface permit tcp host v host z eq 443

usw.

 

du kannst die einzelnen access-listen nur so bearbeiten, indem du die zu erst löschst und dann eben neu anlegst (mit den neuen parametern).

 

zu deinem zugriff auf den ftp-server.

generell sollte es so sein, dass die pup-ip der firewall nur für die firewall ist (zumindest in grösseren umgebungen). wenn services, wie in deinem fall, von aussen verfügbar sein sollten, dann sollte eine weitere pupip genommen werden.

 

wenn du das nicht kannst, weil du einfach nur eine einzige pupip zur verfügung hast, dann geht das trotzdem.

 

ABER: dabei musst du aufpassen, dass du beim static-befehl den port genau mit angibst. nur dann funktioniert das. gibst du den port nicht an, so geht nichts mehr (diesen fall hatte ich schon öfters bei kunden).

 

meine bevorzugten versionen sind also:

 

1) pupip der firewall wird für nichts anders benutzt

2) wenn es nicht anders geht, dann eben static-einträge mit den entsprechenden port-parametern mitangeben.

 

lg

martin

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...