3
Cisco PIX 501 von Port 80 (outside) nach Server A, Port 8080 (inside) - wie?
Hallo,
folgende einfache Aufgabenstellung, scheint mit dem PDM nicht so einfach zu konfigurieren zu sein...
Ich möchte ankommenden Traffic von draußen auf Port 80 (http) auf einen Webserver im Internen Netz 8080 weiterleiten. Kann man bei jedem 50 Euro Router mit wenigen Klicks einstellen, die PIX wehrt sich ein wenig.
Derzeit 80<->80 ist es so eingestellt:
Source:
- Interface: outside
- IP: 0.0.0.0
- Mask: 0.0.0.0
Destination
- Interface: inside
- IP: 192.168.0.100
- Mask: 255.255.255.255
Protocol: TCP
Source Port: Service = any
Destination Port: Service = http
Ändere ich den Source Port von "Service = any" auf "Service = http" und den Dest. Port auf Service = 8080, ist von außen über Port 80 keine Verbindung mehr möglich!
Wenn ich eine Rule wie oben mit Dest. Port: Service = 8080 hinzufüge, kann ich den Server natürlich über http://<host>:8080/ erreichen, er soll aber über http://<host>/ erreichbar sein!
Im Log taucht übrigens folgendes auf:
Deny tcp src outside:<client ip>/62245 dst inside:62.157.xxx.xxx/80 by access-group "outside_access_in"
Scheint ihm also nicht zu gefallen das Service = any weg ist ...? Kann ich das mit der PIX überhaupt so konfigrieren?
Danke und Gruß,
Markus
folgende einfache Aufgabenstellung, scheint mit dem PDM nicht so einfach zu konfigurieren zu sein...
Ich möchte ankommenden Traffic von draußen auf Port 80 (http) auf einen Webserver im Internen Netz 8080 weiterleiten. Kann man bei jedem 50 Euro Router mit wenigen Klicks einstellen, die PIX wehrt sich ein wenig.
Derzeit 80<->80 ist es so eingestellt:
Source:
- Interface: outside
- IP: 0.0.0.0
- Mask: 0.0.0.0
Destination
- Interface: inside
- IP: 192.168.0.100
- Mask: 255.255.255.255
Protocol: TCP
Source Port: Service = any
Destination Port: Service = http
Ändere ich den Source Port von "Service = any" auf "Service = http" und den Dest. Port auf Service = 8080, ist von außen über Port 80 keine Verbindung mehr möglich!
Wenn ich eine Rule wie oben mit Dest. Port: Service = 8080 hinzufüge, kann ich den Server natürlich über http://<host>:8080/ erreichen, er soll aber über http://<host>/ erreichbar sein!
Im Log taucht übrigens folgendes auf:
Deny tcp src outside:<client ip>/62245 dst inside:62.157.xxx.xxx/80 by access-group "outside_access_in"
Scheint ihm also nicht zu gefallen das Service = any weg ist ...? Kann ich das mit der PIX überhaupt so konfigrieren?
Danke und Gruß,
Markus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 121468
Url: https://administrator.de/contentid/121468
Printed on: April 19, 2024 at 20:04 o'clock
3 Comments
Latest comment
Hast du denn wenigstens erstmal intern geprüft ob dein interner Server auf dem Port TCP 8080 antwortet indem du mal http:<loklae_ip>:8080 probiert hast ??
Das ist ja erstmal die Mindesvoraussetzung bevor man weitermacht !!
Das ist ja erstmal die Mindesvoraussetzung bevor man weitermacht !!
Klar ist der Webserver erreichbar. Ich hab nun einen Apache als Proxy dazwischen. Der nimmt die HTTP-Anfrage auf 80 entgegen und reicht sie an 8080 weiter. In dem Fall funktioniert das gut, aber eine Loesung ist das sicher nicht.
OK, das ist schonmal gut ! Dann sollte der folgende Konfig Eintrag das machen was du möchtest:
static (outside,inside) tcp 192.168.0.100 8080 <out_ip_pix> www netmask 255.255.255.255 0 0
static (outside,inside) tcp 192.168.0.100 8080 <out_ip_pix> www netmask 255.255.255.255 0 0
