Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco PIX 501 Zugriff von aussen

Frage Sicherheit Firewall

Mitglied: Dkuehlborn

Dkuehlborn (Level 1) - Jetzt verbinden

03.09.2007, aktualisiert 26.09.2007, 4220 Aufrufe, 5 Kommentare

Hallo Forum,

dank Eurer Hilfe konnte ich meine PIX501 so konfigurieren, dass sie gut und zuverlässig läuft. Nun habe ich eine weitere Anforderung an meine PIX501 und möchte mal von Euch wissen, ob es funktionieren kann und wie es ggf konfiguriert wird.

Die PIX 501 ist bei uns im Netzwerk zwischen zwei Abteilungen geschaltet. Abteilung 1 (inside) soll auf Teile von Abteilung 2 (outside) zugreifen. Nun soll ich für einzelne PC einen Zugriff von Abteilung 2 (outside) auf Abteilung 1 (inside) schalten. Da die PIX 501 nicht direkt mit dem Internet verbunden ist, stellt dieses keine besondere Gefahr dar.

Ich möchte z.B. mit dem Host 10.0.1.190 vom Outside-Interface (10.0.2.251) auf den Host 192.168.1.5 am Inside-Interface (192.168.1.245) zugreifen.

Könnt Ihr mir hierbei weiterhelfen?

Vielen Dank im Voraus

Dieter
01.
PIX Version 6.3(5) 
02.
interface ethernet0 auto 
03.
interface ethernet1 100full 
04.
nameif ethernet0 outside security0 
05.
nameif ethernet1 inside security100 
06.
enable password XXXXXXXXX encrypted 
07.
passwd XXXXXXX encrypted 
08.
hostname pix501 
09.
domain-name netzwerk.local 
10.
fixup protocol dns maximum-length 512 
11.
fixup protocol ftp 21 
12.
fixup protocol h323 h225 1720 
13.
fixup protocol h323 ras 1718-1719 
14.
fixup protocol http 80 
15.
fixup protocol pptp 1723 
16.
fixup protocol rsh 514 
17.
fixup protocol rtsp 554 
18.
fixup protocol sip 5060 
19.
fixup protocol sip udp 5060 
20.
fixup protocol skinny 2000 
21.
fixup protocol smtp 25 
22.
fixup protocol sqlnet 1521 
23.
fixup protocol tftp 69 
24.
names 
25.
name 10.0.2.1 EXSERVER 
26.
name 10.0.2.201 DNSERVER 
27.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq www log 7  
28.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq https log 7  
29.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ftp-data log 7  
30.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ftp log 7  
31.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ssh log 7  
32.
access-list inside-acl permit udp 192.168.1.0 255.255.255.0 host DNSERVEReq domain log 7  
33.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 host EXSERVER log 7  
34.
access-list inside-acl deny tcp any any log 7  
35.
access-list inside-acl deny udp any any log 7  
36.
access-list inside-acl deny icmp any any log 7  
37.
access-list inside-acl deny ip any any log 7  
38.
access-list outside-acl deny icmp any any log 7  
39.
pager lines 24 
40.
logging on 
41.
logging timestamp 
42.
logging trap debugging 
43.
logging history warnings 
44.
logging facility 23 
45.
logging host outside 10.0.1.190 
46.
icmp deny any outside 
47.
mtu outside 1500 
48.
mtu inside 1500 
49.
ip address outside 10.0.2.251 255.255.0.0 
50.
ip address inside 192.168.1.245 255.255.255.0 
51.
ip audit info action alarm 
52.
ip audit attack action alarm drop 
53.
pdm location DNSERVER 255.255.255.255 outside 
54.
pdm logging debugging 100 
55.
pdm history enable 
56.
arp timeout 14400 
57.
global (outside) 1 interface 
58.
nat (inside) 1 0.0.0.0 0.0.0.0 0 0 
59.
access-group outside-acl in interface outside 
60.
access-group inside-acl in interface inside 
61.
route outside 0.0.0.0 0.0.0.0 ED-DC-01 1 
62.
timeout xlate 0:05:00 
63.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 
64.
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 
65.
timeout sip-disconnect 0:02:00 sip-invite 0:03:00 
66.
timeout uauth 0:05:00 absolute 
67.
aaa-server TACACS+ protocol tacacs+  
68.
aaa-server TACACS+ max-failed-attempts 3  
69.
aaa-server TACACS+ deadtime 10  
70.
aaa-server RADIUS protocol radius  
71.
aaa-server RADIUS max-failed-attempts 3  
72.
aaa-server RADIUS deadtime 10  
73.
aaa-server LOCAL protocol local  
74.
http server enable 
75.
http 192.168.1.0 255.255.255.0 inside 
76.
no snmp-server location 
77.
no snmp-server contact 
78.
snmp-server community public 
79.
no snmp-server enable traps 
80.
floodguard enable 
81.
telnet timeout 5 
82.
ssh timeout 5 
83.
console timeout 0 
84.
terminal width 80
Mitglied: aqui
03.09.2007 um 17:16 Uhr
access-list outside-acl permit ip 10.0.1.190 255.255.255.255 192.168.1.5 255.255.255.255

Sollte dein Problem lösen. Mit IP lässt du natürlich alles durch. Das solltest du ggf. auf deine Anwendung (TCP Port) noch beschränken.
Bitte warten ..
Mitglied: Dkuehlborn
24.09.2007 um 16:23 Uhr
Hallo Forum,

ich habe jetzt nach meinem Urlaub mich wieder mit diesem Problem auseinander gesetzt und bin bisher zu keiner Lösung gekommen.

Hier ist meine aktuelle Konfiguration:

01.
PIX Version 6.3(5) 
02.
interface ethernet0 auto 
03.
interface ethernet1 100full 
04.
nameif ethernet0 outside security0 
05.
nameif ethernet1 inside security100 
06.
enable password XXXXX encrypted 
07.
passwd XXXX encrypted 
08.
hostname PIX501 
09.
domain-name netzwerk.local 
10.
fixup protocol dns maximum-length 512 
11.
fixup protocol ftp 21 
12.
fixup protocol h323 h225 1720 
13.
fixup protocol h323 ras 1718-1719 
14.
fixup protocol http 80 
15.
fixup protocol pptp 1723 
16.
fixup protocol rsh 514 
17.
fixup protocol rtsp 554 
18.
fixup protocol sip 5060 
19.
fixup protocol sip udp 5060 
20.
fixup protocol skinny 2000 
21.
fixup protocol smtp 25 
22.
fixup protocol sqlnet 1521 
23.
fixup protocol tftp 69 
24.
names 
25.
name 10.0.2.1 EXSERVER 
26.
name 10.0.2.201 DNSERVER 
27.
name 10.0.1.190 BBWS0001 
28.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq www log 7  
29.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq https log 7  
30.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ftp-data log 7  
31.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ftp log 7  
32.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ssh log 7  
33.
access-list inside-acl permit udp 192.168.1.0 255.255.255.0 host ED-DC-01 log 7  
34.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 host EDPGFS01 log 7  
35.
access-list inside-acl permit tcp any any log 7  
36.
access-list inside-acl permit udp any any log 7  
37.
access-list inside-acl permit icmp any any log 7  
38.
access-list inside-acl permit ip any any log 7  
39.
access-list outside-acl permit icmp any any  
40.
access-list outside-acl permit ip any 192.168.7.0 255.255.255.0  
41.
access-list outside-acl permit udp any 192.168.7.0 255.255.255.0  
42.
access-list outside-acl permit tcp any 192.168.7.0 255.255.255.0  
43.
pager lines 24 
44.
logging on 
45.
logging timestamp 
46.
logging trap debugging 
47.
logging history warnings 
48.
logging facility 23 
49.
logging host outside 10.0.1.190 
50.
icmp deny any outside 
51.
icmp permit any outside 
52.
mtu outside 1500 
53.
mtu inside 1500 
54.
ip address outside 10.0.2.251 255.255.0.0 
55.
ip address inside 192.168.1.245 255.255.255.0 
56.
ip audit info action alarm 
57.
ip audit attack action alarm drop 
58.
pdm logging informational 100 
59.
pdm history enable 
60.
arp timeout 14400 
61.
global (outside) 1 interface 
62.
nat (inside) 1 192.168.1.0 255.255.255.0 dns 0 0 
63.
static (inside,outside) interface 192.168.1.100 netmask 255.255.255.255 0 0  
64.
access-group outside-acl in interface outside 
65.
access-group inside-acl in interface inside 
66.
route outside 0.0.0.0 0.0.0.0 DNSERVER 1 
67.
timeout xlate 0:05:00 
68.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 
69.
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 
70.
timeout sip-disconnect 0:02:00 sip-invite 0:03:00 
71.
timeout uauth 0:05:00 absolute 
72.
aaa-server TACACS+ protocol tacacs+  
73.
aaa-server TACACS+ max-failed-attempts 3  
74.
aaa-server TACACS+ deadtime 10  
75.
aaa-server RADIUS protocol radius  
76.
aaa-server RADIUS max-failed-attempts 3  
77.
aaa-server RADIUS deadtime 10  
78.
aaa-server LOCAL protocol local  
79.
http server enable 
80.
http 192.168.1.0 255.255.255.0 inside 
81.
no snmp-server location 
82.
no snmp-server contact 
83.
snmp-server community public 
84.
no snmp-server enable traps 
85.
floodguard enable 
86.
telnet timeout 5 
87.
ssh timeout 5 
88.
console timeout 0 
89.
terminal width 80
Zurzeit kann ich von der Station 192.168.1.100 über die PIX501 im Internet surfen und auf das Netzwerk 10.0.0.0/16 zugreifen. Von der Station 10.0.1.190 besteht zurzeit kein Zugriff auf die Station 192.168.1.100.

Ändere ist die Static-Anweisung wie folgt ab

01.
static (inside,outside) 192.168.1.100 192.168.1.100 netmask 255.255.255.255 0 0 
kann ich den gewünschten Zugriff von 10.0.1.190 auf 192.168.1.100 ausführen, habe aber an der Station 192.168.1.100 keinen Zugriff auf das Internet.

Habe ich die Möglichkeit die beide Anforderungen mit der PIX 501 unter einen Hut zu bringen?
1. Zugriff von 10.0.1.190 (outside) auf 192.168.1.100 (inside) und
2. Zugriff von 192.168.1.100 (inside) auf Internet via (outside)

Vielen Dank für Eure Bemühungen

Viele Grüße

Dieter
Bitte warten ..
Mitglied: aqui
24.09.2007 um 19:56 Uhr
Du willst ja nicht NAT machen ins inside Netz. Es reicht wenn du einfach die out ACL öffnest und dort den Host 192.168.1.100 erlaubst von 10.0.1.190 mit IP oder eingeschränkt auf z.B. TCP 22 wenn du nur SSH machen willst (23 nur Telnet).
Bitte warten ..
Mitglied: Dkuehlborn
24.09.2007 um 22:24 Uhr
Hallo aqui,

danke für Deine Antwort.

In meiner Konfig ist ein Tippfehler.
01.
access-list outside-acl permit ip any 192.168.7.0 255.255.255.0  
02.
access-list outside-acl permit udp any 192.168.7.0 255.255.255.0  
03.
access-list outside-acl permit tcp any 192.168.7.0 255.255.255.0 
Die korrekte Outside-ACL ist.
01.
access-list outside-acl permit ip any 192.168.1.0 255.255.255.0  
02.
access-list outside-acl permit udp any 192.168.1.0 255.255.255.0  
03.
access-list outside-acl permit tcp any 192.168.1.0 255.255.255.0 
Wenn ich dich richtig verstanden habe, sollte ich zusätzlich die folgende ACL eintragen und das NAT in der Konfig drinnlassen (für Zugriff auf Internet)

01.
access-list outside-acl permit ip 192.168.1.100 255.255.255.0 10.0.1.190 255.255.255.0
Ich habe mir schon überlegt, ob mein Szenario hier besser mit einer DMZ einzurichten ist.

Inside (192.168.1.x)
DMZ (10.0.1.x)
Outside (Internet mit NAT)

Was denkst Du darüber.

Viele Grüße

Dieter
Bitte warten ..
Mitglied: aqui
26.09.2007 um 17:57 Uhr
Mmmmmh, das ist Ansichtssache zumal eine richtige DMZ schwer ist mit ner Pix, denn die hat ja nur 2 Ports du brauchst dann aber 3 Ports oder löst es mit der DMZ des kleinen Mannes
http://www.heise.de/netze/artikel/78397
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
Video & Streaming
gelöst Plex TV von aussen kein Zugriff (4)

Frage von xpxy15 zum Thema Video & Streaming ...

Router & Routing
gelöst Kein Zugriff auf Cisco Switch SG300 über OpenVPN (4)

Frage von miuliu zum Thema Router & Routing ...

Netzwerke
gelöst Zugriff auf Server von verschiedenen VLANs aus (7)

Frage von Kroeger02 zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (32)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...