Cisco Pix Firewall 501- Wie schalte ich Ports frei?

Hallo zusammen,
ich bin ein blutiger Anfänger und
in den Threads, die mir die SuFu liefert, finde ich nur Expertengefachsimpel xD deswegen
muss dieser Thread sein:
Ich möchte bei dem Spiel Warcraft 3 eigene Server hosten können, und mir wurde gesagt, ich müsse dazu den Port 6112 freischalten. Zur Verfügung steht mir dazu eine Telnet-Verbindung zu unserer Pix-Firewall 501 .
Was ist also zu tun? Und welche eventuellen negativen Auswirkungen könnte das freischalten dieses Ports haben?
viele Grüße
cheers
kalamazoo

Please also mark the comments that contributed to the solution of the article

Content-Key: 84627

Url: https://administrator.de/contentid/84627

Printed on: April 25, 2024 at 17:04 o'clock

10 Comments

Latest comment

Hi kalamazoo,
eigentlich ist das Ganze sehr easy. Verbinde ich auf die PIX per Telnet oder SSH und füge folgenden Config ein:

conf t
interface <dein wan interface>
ip nat outside
exit
!
interface <dein lan interface richtung server>
ip nat inside
exit
!
ip nat inside source static tcp <server ip adresse> 6112 interface <wan interface> 6112
!

Kannst du einfach kopieren und im config - Modus einfügen. Der Rest macht er von alleine. Wichtig ist, dass du vorher die entsprecheden Stellen durch die Interfacenamen bzw. IP-Adressen ersetzt.

Grüße
Dani

Hi Dani,
danke erstmal für die schnelle Antwort :>
gibt nur ein kleines problem, ich kenne mein wan-interface gar nicht o0 woher bekomme ich den wert, der da eingetragen werden muss? mein lan interface = die ip-addresse meines PCs? die server ip addresse ist die von der pix, oder?

und das alles muss auf einmal in die konsole eingetragen werden?

Grüße

Moin,
naja..du hast doch 2 Interface konfiguriert. Der Port an dem die Standleitung oder DSL dran hängt ist der WAN-Port (musst du über Konsole auslesen) und der andere Port ist dann der LAN Port. Du solltest vllt. auch einfach "Descriptions" einführen - das macht es oft einfacher - auch für die Zukunft.

Kann es sein, dass du die PIX mit der Oberfläche konfiguriert hast?! Ist ja ganz nett, aber die feinen Dinge kannst du eben nur auf der COnsole machen...also üben, üben, üben.

Grüße
Dani

Moinsn,
*gg* also ich selbst habe daran gar nix konfiguriert, das war ein Kumpel von mir, der davon ein wenig mehr ahnung hat. Der ist allerdings grade im Skiurlaub und kurioserweise auch nicht zu erreichen o0
Deswegen ist das nun tatsächltlich das erste mal, dass ich mich an das Teil heranwage.
Sag mir am besten einfach genau, was ich eingeben muss, um den wan-port abzulesen(in welcher form wird der denn angegeben? als ip-addresse?) und wo ich ihn ablesen kann,
und wo ich die anderen beiden infos herbekomme ;)
der Lan-Port ist dann also die schnittstelle wo mein PC dran hängt, richtig? also nicht die IP-addresse von meinem pc, sondern nur die stelle wo er dran hängt? und wo kann ich deren Addresse auslesen?
*verwirrt*
Oli

Guten Morgen Oli,
also geh in den "en" Modus und geb mal sh ip int brief ein. Somit müsstest du alle Interface sehen. Eines müsste "Dialer" heißen. Das ist dein WAN-Interface. Nun gibt es 2 Möglichkeiten:
Hängen alle Rechner direkt an der PIX oder erst ein Switch und dort dann alle Rechner?
Ansonsten geb mal "sh int desc" ein. Vllt. hat er ein Interfacebeschreibung hinterlegt (macht man heute normal). *g*

der Lan-Port ist dann also die schnittstelle wo mein PC dran hängt, richtig?

Genau, einfach der Port auf dem der Rechner / Server angeschlossen ist, auf den der Port geforwardert werden soll.

Grüße
Dani

Moinsen,
wenn ich die beiden Befehle eingebe, sieht das so aus:
WohnzimmerPIX(config)# sh ip int brief
Invalid keyword: "int"
Usage: [no] ip address <if_name> <ip_address> [<mask>]
[no] ip address <if_name> <ip_address> <mask> pppoe [setroute]
[no] ip address <if_name> dhcp [setroute] [retry <retry_cnt>]
[no] ip address <if_name> pppoe [setroute]
ip local pool <poolname> <ip1>[-<ip2>]
ip verify reverse-path interface <if_name>
ip audit {info|attack} action [alarm] [drop] [reset]
ip audit name <audit_name> {info|attack} [action [alarm] [drop] [reset]]

ip audit interface <if_name> <audit_name>
ip audit signature <sig_number> disable
show|clear ip audit count [global] [interface <interface>]
show ip [address [<if_name> [pppoe|dhcp [lease|server]]]]
WohnzimmerPIX(config)# sh int desc
Usage: interface <hardware_id> [<hw_speed> [shutdown]]
[no] interface <hardware_id> <vlan_id> [logical|physical] [shutdown]
interface <hardware_id> change-vlan <old_vlan_id> <new_vlan_id>
show interface
WohnzimmerPIX(config)#

bei uns hängen alle rechner direkt an der pix...

"der Lan-Port ist dann also die schnittstelle wo mein PC dran hängt, richtig?
Genau, einfach der Port auf dem der Rechner / Server angeschlossen ist, auf den der Port geforwardert werden soll."
okay, und wo kann ich auslesen wie dieser port bezeichnet wird?

danke für Deine Geduld ;)

Ich habe nichts von "config" - Modus gesagt! => WohnzimmerPIX(config)#

"der Lan-Port ist dann also die schnittstelle wo mein PC dran hängt, richtig?

Richtig...

okay, und wo kann ich auslesen wie dieser port bezeichnet wird?

Ka....es werden die Ports normal durchnummiert. z.B. FastEthernet0/1 oder FastEthernet1...

Grüße
Dani

WohnzimmerPIX# sh ip int brief
Invalid keyword:  "int"  
Usage:  [no] ip address <if_name> <ip_address> [<mask>]
        [no] ip address <if_name> <ip_address> <mask> pppoe [setroute]
        [no] ip address <if_name> dhcp [setroute] [retry <retry_cnt>]
        [no] ip address <if_name> pppoe [setroute]
        ip local pool <poolname> <ip1>[-<ip2>]
        ip verify reverse-path interface <if_name>
        ip audit {info|attack} action [alarm] [drop] [reset]
        ip audit name <audit_name> {info|attack} [action [alarm] [drop] [reset]]

        ip audit interface <if_name> <audit_name>
        ip audit signature <sig_number> disable
        show|clear ip audit count [global] [interface <interface>]
        show ip [address [<if_name> [pppoe|dhcp [lease|server]]]]

WohnzimmerPIX# sh ip brief
Invalid keyword:  "brief"  
Usage:  [no] ip address <if_name> <ip_address> [<mask>]
        [no] ip address <if_name> <ip_address> <mask> pppoe [setroute]
        [no] ip address <if_name> dhcp [setroute] [retry <retry_cnt>]
        [no] ip address <if_name> pppoe [setroute]
        ip local pool <poolname> <ip1>[-<ip2>]
        ip verify reverse-path interface <if_name>
        ip audit {info|attack} action [alarm] [drop] [reset]
        ip audit name <audit_name> {info|attack} [action [alarm] [drop] [reset]]

        ip audit interface <if_name> <audit_name>
        ip audit signature <sig_number> disable
        show|clear ip audit count [global] [interface <interface>]
        show ip [address [<if_name> [pppoe|dhcp [lease|server]]]]
WohnzimmerPIX# sh ip
System IP Addresses:
        ip address outside 84.142.237.71 255.255.255.255
        ip address inside 10.10.10.1 255.255.255.0
Current IP Addresses:
        ip address outside 84.142.237.71 255.255.255.255
        ip address inside 10.10.10.1 255.255.255.0
WohnzimmerPIX# sh int desc
Usage:  interface <hardware_id> [<hw_speed> [shutdown]]
        [no] interface <hardware_id> <vlan_id> [logical|physical] [shutdown]
        interface <hardware_id> change-vlan <old_vlan_id> <new_vlan_id>
        show interface

soo... das sind die befehle nochmal ohne den config modus.
vllt hilft es dir wenn ich dir mal meine komplette konfig zeige? habe in anderen foren doch noch ein bisschen was gefunden, und in die konfig reingepackt.
vielleicht kannst du mir dann einfach sagen, was noch fehlt?

//PIX Version 6.3(3) 
interface ethernet0 10basetp-se 
mtu outside 
interface ethernet1 100full 
mtu in
nameif ethernet0 outside security0 
ip address out
nameif ethernet1 inside security100stype_obj_grp_id 
enable password xxxx encrypted 
ip address inside 10.10.10.1 255.255.
passwd xxxxx encrypted 
telnet 10.10.10.2 2
hostname WohnzimmerPIX 
domain-name ciscopix.com name MYAUDIT attack act
fixup protocol dns maximum-length 512255 insidepr 
fixup protocol ftp 21 
fixup protocol h323 h225 1720YAUDITinfo info action alarmt
fixup protocol h323 ras 1718-1719 
fixup protocol http 80 

pdm location 10.
fixup protocol ils 389 inside 
fixup protocol rsh 514 
Wohnzimm 
fixup protocol rtsp 55n 
access-list inbound permit tcp any any eq 6112 
arp timeout 144000 sip 0:30:00 
access-list inbound permit udp any any eq 6112 1 interface remark <text> 
pager lines 24 
vpdn g
logging timestamp
nat (inside) 1 0
logging monitor debugging 
logging buffered debugging,outside) tcp interface ww
logging trap notifications5.255.255.255**Jao/r06XEQM
logging history debugginge multica 
logging host inside 10.10.10.2 6/1468 
mtu outside 1500 
mtu inside 1500dhcp 
0 0re
ip address outside pppoe setrouteol local255.255 insidece <if_na 
ip address inside 10.10.10 
ip audit info action alarmerver location023069 
ip audit attack action alarmnmp-server contact[netmask <
pdm location 10.10.10.3 255.255.255.255 inside 
snmp-server community publicudit name 
pdm location 10.10.10.4 255.255.255.255 inside 

snmp-server enable tr
pdm location 10.10.10.5 255.255.255.255 inside 
floodguard enableerface outsi 
pdm logging informational 10010.10.10.2 255.255.255.255 in
pdm history enable]interface outside
arp timeout 14400 
global (outside) 1 interface 
teln
nat (inside) 1 0.0.0.0 0.0.0.0 0 0enzimmerPIX(config)# static ( 
0 03 25
static (inside,outside) tcp interface 6112 10.10.10.1 6112 netmask 255.255.255.2 
pdm location 10 
ssh 10.10.10.2 255.255.255.wr 
55 0 0 
static (inside,outside) udp interface 6112 10.10.10.1 6112 netmask 255.255.255.2EQMNWGt encryptedssword fJao/r06XEQM 
55 0 0 
access-group inbound in interface outside 
0 0encr 
static (
timeout xlate 0:05:00swd f 
vpdn gr
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 
hostname WohnzimmerPIX 

dhcpd auto_config outs
no snmp-server contact 
snmp-server community public 
dhcpd enable insideimeou
telnet 10.10.10.3 255.255.255.255 inside
telnet 10.10.10.5 255.255.255.255 inside
telnet timeout 10
ssh 10.10.10.5 255.255.255.255 inside
ssh 10.10.10.3 255.255.255.255 inside
ssh 10.10.10.2 255.255.255.255 inside
ssh 10.10.10.8 255.255.255.255 inside
ssh 10.10.10.9 255.255.255.255 inside
ssh timeout 30
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname 0015850886405502306970370001@t-online.de
vpdn group pppoe_group ppp authentication pap
vpdn username 0015850886405502306970370001@t-online.de password *********
dhcpd address 10.10.10.8-10.10.10.10 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
terminal width 100
Cryptochecksum:cae273d845e0a61518200ff4cbc803f4

So...sieht ja nicht so schlecht aus - Ethernet0 und Ethernet1. Nun musst du am Router ablesen, wo du was gesteckt hast und meinen Schnipsel ändern - einspielen- gut ist.

Grüße
Dani

P.S. Du solltest dich schon ein wenig mit der Materie beschäftigen. Sonst wird das nichts...ich hab nicht vor in 2 Wochen nochmal dir alle vorzukauen!

moinsen!
ich hab endlich rausgefunden, worans lag, völlig simpel:
ich hatte an meinem pc keine feste ip adresse vergeben, dh. der port war für eine ip addresse freigegeben, die gar nicht existierte : >
danke für deine hilfe und vor allem deine geduld xD
grüße
reinhaun!

German closed solved Question Routers, Routing Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments