6
Cisco PIX 501 Konfiguration und Portforwarding
Hallo an alle !
Habe hier ein Cisco PIX 501 auf meinem Tisch liegen, habe hier schon alles durchgelsen, aber nichts passendes gefunden. Folgendes Problem:
Da wir eigentlich keine Cisco Produkte vertreiben, könnt ihr euch vorstellen, das hier niemand eine Ahnung hat wie man sie konfiguriert. Und ich hab jetzt die A Karte und muss sie zum laufen bringen. Beschäftige mich jetzt 3 Tage damit und komme irgendwie nicht wirklich weiter. Das Internet ging schon mal, das war ziemlich schnell gelöst. Aber sobald ich angefangen hab Ports frei zu geben, ging gar nix mehr
Ums kurz zu fassen, bräuchte ich folgende Config:
Das interne Netzwerk hat den Bereich 192.168.1.0
Das Internet läuft über eine feste IP 195.23x.xx.xx
Von innen nach aussen soll alles erlaubt sein
und von aussen nach innen wird der Port 80 und der Port 3389 benötigt
beide auf den Server sprich auf die IP 192.168.1.80
Habe schon alles mögliche versucht aber irgendwas mach ich immer falsch.
Habe die PIX jetzt wieder auf Werkseinstellung. Für jemanden der sich auskennt
müssten die paar Befehle für die kleine Config hoffentlich eine Kleinigkeit sein und
ich hoffe ihr teilt Sie mir mit :D Nachstehend noch die aktuelle Config, sollte auf Werkseinstellung sein. In der Regel gibt es da aber auch meistens Sachen die unnötig
drin stehen oder behindern. Also raus damit ;) Vielen Dank schonmal im voraus !!!
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password ###### encrypted
passwd ###### encrypted
hostname pixfirewall
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0
nat (inside) 1 0.0
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.129 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
terminal width 80
Cryptochecksum:5f0adef75efaf978559a696d8c37a693
Habe hier ein Cisco PIX 501 auf meinem Tisch liegen, habe hier schon alles durchgelsen, aber nichts passendes gefunden. Folgendes Problem:
Da wir eigentlich keine Cisco Produkte vertreiben, könnt ihr euch vorstellen, das hier niemand eine Ahnung hat wie man sie konfiguriert. Und ich hab jetzt die A Karte und muss sie zum laufen bringen. Beschäftige mich jetzt 3 Tage damit und komme irgendwie nicht wirklich weiter. Das Internet ging schon mal, das war ziemlich schnell gelöst. Aber sobald ich angefangen hab Ports frei zu geben, ging gar nix mehr
Ums kurz zu fassen, bräuchte ich folgende Config:Das interne Netzwerk hat den Bereich 192.168.1.0
Das Internet läuft über eine feste IP 195.23x.xx.xx
Von innen nach aussen soll alles erlaubt sein
und von aussen nach innen wird der Port 80 und der Port 3389 benötigt
beide auf den Server sprich auf die IP 192.168.1.80
Habe schon alles mögliche versucht aber irgendwas mach ich immer falsch.
Habe die PIX jetzt wieder auf Werkseinstellung. Für jemanden der sich auskennt
müssten die paar Befehle für die kleine Config hoffentlich eine Kleinigkeit sein und
ich hoffe ihr teilt Sie mir mit :D Nachstehend noch die aktuelle Config, sollte auf Werkseinstellung sein. In der Regel gibt es da aber auch meistens Sachen die unnötig
drin stehen oder behindern. Also raus damit ;) Vielen Dank schonmal im voraus !!!
- Saved
- Written by enable_15 at 12:11:17.761 UTC Mon Mar 13 2006
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password ###### encrypted
passwd ###### encrypted
hostname pixfirewall
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0
nat (inside) 1 0.0
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.129 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
terminal width 80
Cryptochecksum:5f0adef75efaf978559a696d8c37a693
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 28055
Url: https://administrator.de/contentid/28055
Printed on: April 16, 2024 at 04:04 o'clock
6 Comments
Latest comment
Hallo Rambay,
zunächst, die aktuelle PixWare ist 6.3(5)
Damit sollten der RDP und der Webserver von außen ansprechbar sein.
Sei dir aber bewußt, dass JEDER über den Port 3389 direkt an der Anmeldemaske steht.
Günstiger wäre es, wenn du das auf best. IP-Adressen einschränken, oder, noch besser, den Cisco VPN-Client einsetzen könntest.
Gruß
H.
zunächst, die aktuelle PixWare ist 6.3(5)
Damit sollten der RDP und der Webserver von außen ansprechbar sein.
access-list 102 permit tcp interface outside eq 3389 host 192.168.1.80 eq 3389
access-list 102 permit tcp interface outside eq 80 host 192.168.1.80 eq 80
static (inside,outside) tcp interface 3389 192.168.1.80 3389 netmask 255.255.255.255 0 0
static (inside,outside) tcp interface 80 192.168.1.80 80 netmask 255.255.255.255 0 0
access-group 102 in interface outsideSei dir aber bewußt, dass JEDER über den Port 3389 direkt an der Anmeldemaske steht.
Günstiger wäre es, wenn du das auf best. IP-Adressen einschränken, oder, noch besser, den Cisco VPN-Client einsetzen könntest.
Gruß
H.
Hallo Gemini,
vielen Dank für die Antwort. Werde die PIX Ware gleich mal auf den neuen Stand bringen.
Mit der RDP Anmeldung hast du Recht, man muss zwar dann noch Benutzernamen und Passwort herausfinden, aber das geht teilweise recht schnell. Normalerweise läuft das bei uns immer über VPN, der Port 3389 ist in der Regel nicht von aussen erreichbar. Aber wie gesagt, hab ich so gut wie null Ahnung von der Pix, werd mir da noch was einfallen lassen.
Geht in der Standard Config der Pix eigentlich das Internet bzw. alle Anfragen von Innen nach Aussen ?
Gruß,
Rambay
vielen Dank für die Antwort. Werde die PIX Ware gleich mal auf den neuen Stand bringen.
Mit der RDP Anmeldung hast du Recht, man muss zwar dann noch Benutzernamen und Passwort herausfinden, aber das geht teilweise recht schnell. Normalerweise läuft das bei uns immer über VPN, der Port 3389 ist in der Regel nicht von aussen erreichbar. Aber wie gesagt, hab ich so gut wie null Ahnung von der Pix, werd mir da noch was einfallen lassen.
Geht in der Standard Config der Pix eigentlich das Internet bzw. alle Anfragen von Innen nach Aussen ?
Gruß,
Rambay
Hi Rambay,
ich setz bei mir, wann immer möglich, den Cisco-VPN-Client ein.
Einzige Ausnahme sind 3 Fernwartungszugänge und die Banken, die aber alle auf best. IPs beschränkt sind.
Die 501 hat, im Gegensatz zu den größeren PIXen, eine Standardkonfig: Nach außen alles, nach innen nichts.
Zum updaten der Software wirst du einen TFTP brauchen, gabs mal von Cisco haben sie aber, glaub ich, eingestellt.
Ich benutze den [ftp://ftp.3com.com/pub/utilbin/win32/3ts01_04.exe TFTP von 3com].
Gruß
H.
ich setz bei mir, wann immer möglich, den Cisco-VPN-Client ein.
Einzige Ausnahme sind 3 Fernwartungszugänge und die Banken, die aber alle auf best. IPs beschränkt sind.
Die 501 hat, im Gegensatz zu den größeren PIXen, eine Standardkonfig: Nach außen alles, nach innen nichts.
Zum updaten der Software wirst du einen TFTP brauchen, gabs mal von Cisco haben sie aber, glaub ich, eingestellt.
Ich benutze den [ftp://ftp.3com.com/pub/utilbin/win32/3ts01_04.exe TFTP von 3com].
Gruß
H.
Gut zu wissen, aber zum Updaten bin ich noch gar nicht gekommen. Wollte die Configuration so schon mal testen. Bevor ich zum Kunden fahre will ich mir sicher sein das es funktioniert :D Hab also im Büro alles Nachgestellt:
Ein Win Server 2003 mit ip 192.168.1.80/255.255.255.0
und ein Client Win XP mit ip 192.168.2.20/255.255.255.0
die Pix hat fürs Lan die 192.168.1.1/255.255.255.0
und fürs Wan hat sie die 192.168.2.1/255.255.255.0
am WAN Port ist nun der Client angeschlossen. Soll also einen PC der von aussen zugreifen will darstellen.
Und an einem Lan Port ist der Server angeschlossen der erreicht werden soll.
Also so war zumindest meine Überlegung. An sich müsste ich doch jetzt mit dem Client auf den Server kommen. MSTSC und Externe IP von der PIX also 192.168.2.1 oder bin ich jetzt schon so durcheinander vor lauter rumprobiererei das ich da grad Mist mach ?? Es klappt nämlich nicht Vielleicht fällt dir ja nochmal was ein oder auf was ich falsch gemacht hab.
Hier die Config die jetzt drin ist:
Building configuration...
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password ##### encrypted
passwd ##### encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list 102 permit tcp interface outside eq 3389 host 192.168.1.80 eq 3389
access-list 102 permit tcp interface outside eq www host 192.168.1.80 eq www
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.168.2.1 255.255.255.0
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.80 255.255.255.255 inside
pdm location 192.168.2.1 255.255.255.255 outside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp interface 3389 192.168.1.80 3389 netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www 192.168.1.80 www netmask 255.255.255.255 0 0
access-group 102 in interface outside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.129 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
terminal width 80
Cryptochecksum:8134723923fcba354443bb8e928913e9
: end
[OK]
Ein Win Server 2003 mit ip 192.168.1.80/255.255.255.0
und ein Client Win XP mit ip 192.168.2.20/255.255.255.0
die Pix hat fürs Lan die 192.168.1.1/255.255.255.0
und fürs Wan hat sie die 192.168.2.1/255.255.255.0
am WAN Port ist nun der Client angeschlossen. Soll also einen PC der von aussen zugreifen will darstellen.
Und an einem Lan Port ist der Server angeschlossen der erreicht werden soll.
Also so war zumindest meine Überlegung. An sich müsste ich doch jetzt mit dem Client auf den Server kommen. MSTSC und Externe IP von der PIX also 192.168.2.1 oder bin ich jetzt schon so durcheinander vor lauter rumprobiererei das ich da grad Mist mach ?? Es klappt nämlich nicht
Vielleicht fällt dir ja nochmal was ein oder auf was ich falsch gemacht hab.Hier die Config die jetzt drin ist:
Building configuration...
- Saved
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password ##### encrypted
passwd ##### encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list 102 permit tcp interface outside eq 3389 host 192.168.1.80 eq 3389
access-list 102 permit tcp interface outside eq www host 192.168.1.80 eq www
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.168.2.1 255.255.255.0
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.80 255.255.255.255 inside
pdm location 192.168.2.1 255.255.255.255 outside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp interface 3389 192.168.1.80 3389 netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www 192.168.1.80 www netmask 255.255.255.255 0 0
access-group 102 in interface outside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.129 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
terminal width 80
Cryptochecksum:8134723923fcba354443bb8e928913e9
: end
[OK]
Moin Rambay,
ersetz mal die beiden Zeilen und versuchs nochmal.
Außerdem solltest du, wenn das System mal produktiv ist, das logging einschalten und einen Syslog-Server auf dem 80er aufsetzen, bspw. den Kiwi Syslog Daemon.
Die PIX schreibt ihre Meldungen dann in das Syslog und du kannst auch nachvollziehen was so abgeht.
Außerdem solltest du dann auch icmp-Requests blocken.
Die PIX kann übrigens auch ein Modem ansteuern, funktioniert bei uns seit 1½ Jahren einwandfrei.
Gruß
H.
PS: Ich seh grad, du hast den DHCP eingeschaltet.
Dein Webserver hat eine feste IP, nehme ich mal an. Diese liegt allerdings im Range des DHCP. Das ist suboptimal.
Wenn du den DHCP der PIX nicht brauchst würde ich ihn abschalten, ansonsten den Range so abändern, dass dein Server außen vor ist.
ersetz mal die beiden Zeilen und versuchs nochmal.
access-list 102 permit tcp any host 192.168.2.1 eq 3389
access-list 102 permit tcp any host 192.168.2.1 eq 80Außerdem solltest du, wenn das System mal produktiv ist, das logging einschalten und einen Syslog-Server auf dem 80er aufsetzen, bspw. den Kiwi Syslog Daemon.
Die PIX schreibt ihre Meldungen dann in das Syslog und du kannst auch nachvollziehen was so abgeht.
logging on
logging trap notifications
logging host inside 192.168.1.80Außerdem solltest du dann auch icmp-Requests blocken.
icmp deny any outsideDie PIX kann übrigens auch ein Modem ansteuern, funktioniert bei uns seit 1½ Jahren einwandfrei.
Gruß
H.
PS: Ich seh grad, du hast den DHCP eingeschaltet.
dhcpd address 192.168.1.2-192.168.1.129 inside
...
dhcpd enable insideWenn du den DHCP der PIX nicht brauchst würde ich ihn abschalten, ansonsten den Range so abändern, dass dein Server außen vor ist.
Hallo Leute, möchte mich kurz an diesen alten Beitrag hängen:
Habe hier einen Kunden der Ebenfalls den Pix 501 im EInsatz hat.
dieser war als Router / Internetgateway im Einsatz
der Kunde hat sich per Cisco Client direkt verbunden.
der 501 hat über ein DSL Modem eine Internetverbindung aufgebaut.
Nun kam ein Standortwechsel mit dem sich ein paar Bedingungen geändert haben.
a) Neue Bedingungen sind;
der Ciscorouter befindet sich nun hinter einer Firewall und baut keine eigene Internetverbindung auf.
Er soll nur also VPN gateway fungieren.
b) Wir können wir uns die Konfiguration anschauen ? erfolgt diese über Telnet ist das korrekt ? Oder gibt es eine Konfigurationsoberfläche / Konfigsoftware ?
-> Bisher haben wir den 501 noch nie Konfigurieren müssen...
c) reicht es aus wenn man im Router/Firwall die Ports UDP 500,4500 und TCP 10.000 freigibt und diese an den 501 weiterleitet ?
Grüße
und danke für eure Antworten
Habe hier einen Kunden der Ebenfalls den Pix 501 im EInsatz hat.
dieser war als Router / Internetgateway im Einsatz
der Kunde hat sich per Cisco Client direkt verbunden.
der 501 hat über ein DSL Modem eine Internetverbindung aufgebaut.
Nun kam ein Standortwechsel mit dem sich ein paar Bedingungen geändert haben.
a) Neue Bedingungen sind;
der Ciscorouter befindet sich nun hinter einer Firewall und baut keine eigene Internetverbindung auf.
Er soll nur also VPN gateway fungieren.
b) Wir können wir uns die Konfiguration anschauen ? erfolgt diese über Telnet ist das korrekt ? Oder gibt es eine Konfigurationsoberfläche / Konfigsoftware ?
-> Bisher haben wir den 501 noch nie Konfigurieren müssen...
c) reicht es aus wenn man im Router/Firwall die Ports UDP 500,4500 und TCP 10.000 freigibt und diese an den 501 weiterleitet ?
Grüße
und danke für eure Antworten