dkuehlborn
Goto Top

Cisco PIX 501 Zugriff von aussen

Hallo Forum,

dank Eurer Hilfe konnte ich meine PIX501 so konfigurieren, dass sie gut und zuverlässig läuft. Nun habe ich eine weitere Anforderung an meine PIX501 und möchte mal von Euch wissen, ob es funktionieren kann und wie es ggf konfiguriert wird.

Die PIX 501 ist bei uns im Netzwerk zwischen zwei Abteilungen geschaltet. Abteilung 1 (inside) soll auf Teile von Abteilung 2 (outside) zugreifen. Nun soll ich für einzelne PC einen Zugriff von Abteilung 2 (outside) auf Abteilung 1 (inside) schalten. Da die PIX 501 nicht direkt mit dem Internet verbunden ist, stellt dieses keine besondere Gefahr dar.

Ich möchte z.B. mit dem Host 10.0.1.190 vom Outside-Interface (10.0.2.251) auf den Host 192.168.1.5 am Inside-Interface (192.168.1.245) zugreifen.

Könnt Ihr mir hierbei weiterhelfen?

Vielen Dank im Voraus

Dieter
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password XXXXXXXXX encrypted
passwd XXXXXXX encrypted
hostname pix501
domain-name netzwerk.local
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 10.0.2.1 EXSERVER
name 10.0.2.201 DNSERVER
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq www log 7 
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq https log 7 
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ftp-data log 7 
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ftp log 7 
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ssh log 7 
access-list inside-acl permit udp 192.168.1.0 255.255.255.0 host DNSERVEReq domain log 7 
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 host EXSERVER log 7 
access-list inside-acl deny tcp any any log 7 
access-list inside-acl deny udp any any log 7 
access-list inside-acl deny icmp any any log 7 
access-list inside-acl deny ip any any log 7 
access-list outside-acl deny icmp any any log 7 
pager lines 24
logging on
logging timestamp
logging trap debugging
logging history warnings
logging facility 23
logging host outside 10.0.1.190
icmp deny any outside
mtu outside 1500
mtu inside 1500
ip address outside 10.0.2.251 255.255.0.0
ip address inside 192.168.1.245 255.255.255.0
ip audit info action alarm
ip audit attack action alarm drop
pdm location DNSERVER 255.255.255.255 outside
pdm logging debugging 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group outside-acl in interface outside
access-group inside-acl in interface inside
route outside 0.0.0.0 0.0.0.0 ED-DC-01 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server TACACS+ max-failed-attempts 3 
aaa-server TACACS+ deadtime 10 
aaa-server RADIUS protocol radius 
aaa-server RADIUS max-failed-attempts 3 
aaa-server RADIUS deadtime 10 
aaa-server LOCAL protocol local 
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80

Content-Key: 67751

Url: https://administrator.de/contentid/67751

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: aqui
aqui 03.09.2007 um 17:16:21 Uhr
Goto Top
access-list outside-acl permit ip 10.0.1.190 255.255.255.255 192.168.1.5 255.255.255.255

Sollte dein Problem lösen. Mit IP lässt du natürlich alles durch. Das solltest du ggf. auf deine Anwendung (TCP Port) noch beschränken.
Mitglied: Dkuehlborn
Dkuehlborn 24.09.2007 um 16:23:32 Uhr
Goto Top
Hallo Forum,

ich habe jetzt nach meinem Urlaub mich wieder mit diesem Problem auseinander gesetzt und bin bisher zu keiner Lösung gekommen.

Hier ist meine aktuelle Konfiguration:

PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password XXXXX encrypted
passwd XXXX encrypted
hostname PIX501
domain-name netzwerk.local
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 10.0.2.1 EXSERVER
name 10.0.2.201 DNSERVER
name 10.0.1.190 BBWS0001
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq www log 7 
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq https log 7 
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ftp-data log 7 
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ftp log 7 
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ssh log 7 
access-list inside-acl permit udp 192.168.1.0 255.255.255.0 host ED-DC-01 log 7 
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 host EDPGFS01 log 7 
access-list inside-acl permit tcp any any log 7 
access-list inside-acl permit udp any any log 7 
access-list inside-acl permit icmp any any log 7 
access-list inside-acl permit ip any any log 7 
access-list outside-acl permit icmp any any 
access-list outside-acl permit ip any 192.168.7.0 255.255.255.0 
access-list outside-acl permit udp any 192.168.7.0 255.255.255.0 
access-list outside-acl permit tcp any 192.168.7.0 255.255.255.0 
pager lines 24
logging on
logging timestamp
logging trap debugging
logging history warnings
logging facility 23
logging host outside 10.0.1.190
icmp deny any outside
icmp permit any outside
mtu outside 1500
mtu inside 1500
ip address outside 10.0.2.251 255.255.0.0
ip address inside 192.168.1.245 255.255.255.0
ip audit info action alarm
ip audit attack action alarm drop
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.1.0 255.255.255.0 dns 0 0
static (inside,outside) interface 192.168.1.100 netmask 255.255.255.255 0 0 
access-group outside-acl in interface outside
access-group inside-acl in interface inside
route outside 0.0.0.0 0.0.0.0 DNSERVER 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server TACACS+ max-failed-attempts 3 
aaa-server TACACS+ deadtime 10 
aaa-server RADIUS protocol radius 
aaa-server RADIUS max-failed-attempts 3 
aaa-server RADIUS deadtime 10 
aaa-server LOCAL protocol local 
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80

Zurzeit kann ich von der Station 192.168.1.100 über die PIX501 im Internet surfen und auf das Netzwerk 10.0.0.0/16 zugreifen. Von der Station 10.0.1.190 besteht zurzeit kein Zugriff auf die Station 192.168.1.100.

Ändere ist die Static-Anweisung wie folgt ab

static (inside,outside) 192.168.1.100 192.168.1.100 netmask 255.255.255.255 0 0 

kann ich den gewünschten Zugriff von 10.0.1.190 auf 192.168.1.100 ausführen, habe aber an der Station 192.168.1.100 keinen Zugriff auf das Internet.

Habe ich die Möglichkeit die beide Anforderungen mit der PIX 501 unter einen Hut zu bringen?
1. Zugriff von 10.0.1.190 (outside) auf 192.168.1.100 (inside) und
2. Zugriff von 192.168.1.100 (inside) auf Internet via (outside)

Vielen Dank für Eure Bemühungen

Viele Grüße

Dieter
Mitglied: aqui
aqui 24.09.2007 um 19:56:49 Uhr
Goto Top
Du willst ja nicht NAT machen ins inside Netz. Es reicht wenn du einfach die out ACL öffnest und dort den Host 192.168.1.100 erlaubst von 10.0.1.190 mit IP oder eingeschränkt auf z.B. TCP 22 wenn du nur SSH machen willst (23 nur Telnet).
Mitglied: Dkuehlborn
Dkuehlborn 24.09.2007 um 22:24:14 Uhr
Goto Top
Hallo aqui,

danke für Deine Antwort.

In meiner Konfig ist ein Tippfehler.
access-list outside-acl permit ip any 192.168.7.0 255.255.255.0 
access-list outside-acl permit udp any 192.168.7.0 255.255.255.0 
access-list outside-acl permit tcp any 192.168.7.0 255.255.255.0 

Die korrekte Outside-ACL ist.
access-list outside-acl permit ip any 192.168.1.0 255.255.255.0 
access-list outside-acl permit udp any 192.168.1.0 255.255.255.0 
access-list outside-acl permit tcp any 192.168.1.0 255.255.255.0 

Wenn ich dich richtig verstanden habe, sollte ich zusätzlich die folgende ACL eintragen und das NAT in der Konfig drinnlassen (für Zugriff auf Internet)

access-list outside-acl permit ip 192.168.1.100 255.255.255.0 10.0.1.190 255.255.255.0

Ich habe mir schon überlegt, ob mein Szenario hier besser mit einer DMZ einzurichten ist.

Inside (192.168.1.x)
DMZ (10.0.1.x)
Outside (Internet mit NAT)

Was denkst Du darüber.

Viele Grüße

Dieter
Mitglied: aqui
aqui 26.09.2007 um 17:57:43 Uhr
Goto Top
Mmmmmh, das ist Ansichtssache zumal eine richtige DMZ schwer ist mit ner Pix, denn die hat ja nur 2 Ports du brauchst dann aber 3 Ports oder löst es mit der DMZ des kleinen Mannes
http://www.heise.de/netze/artikel/78397