Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Cisco Pix Firewall 501- Wie schalte ich Ports frei?

Frage Netzwerke Router & Routing

Mitglied: kalamazoo

kalamazoo (Level 1) - Jetzt verbinden

03.04.2008, aktualisiert 11.04.2008, 8156 Aufrufe, 10 Kommentare

Hallo zusammen,
ich bin ein blutiger Anfänger und
in den Threads, die mir die SuFu liefert, finde ich nur Expertengefachsimpel xD deswegen
muss dieser Thread sein:
Ich möchte bei dem Spiel Warcraft 3 eigene Server hosten können, und mir wurde gesagt, ich müsse dazu den Port 6112 freischalten. Zur Verfügung steht mir dazu eine Telnet-Verbindung zu unserer Pix-Firewall 501 .
Was ist also zu tun? Und welche eventuellen negativen Auswirkungen könnte das freischalten dieses Ports haben?
viele Grüße
cheers
kalamazoo
Mitglied: Dani
03.04.2008 um 14:53 Uhr
Hi kalamazoo,
eigentlich ist das Ganze sehr easy. Verbinde ich auf die PIX per Telnet oder SSH und füge folgenden Config ein:
01.
conf t 
02.
interface <dein wan interface> 
03.
ip nat outside 
04.
exit 
05.
06.
interface <dein lan interface richtung server> 
07.
ip nat inside 
08.
exit 
09.
10.
ip nat inside source static tcp <server ip adresse> 6112 interface <wan interface> 6112 
11.
!
Kannst du einfach kopieren und im config - Modus einfügen. Der Rest macht er von alleine. Wichtig ist, dass du vorher die entsprecheden Stellen durch die Interfacenamen bzw. IP-Adressen ersetzt.


Grüße
Dani
Bitte warten ..
Mitglied: kalamazoo
03.04.2008 um 15:06 Uhr
Hi Dani,
danke erstmal für die schnelle Antwort :>
gibt nur ein kleines problem, ich kenne mein wan-interface gar nicht o0 woher bekomme ich den wert, der da eingetragen werden muss? mein lan interface = die ip-addresse meines PCs? die server ip addresse ist die von der pix, oder?

und das alles muss auf einmal in die konsole eingetragen werden?

Grüße
Bitte warten ..
Mitglied: Dani
04.04.2008 um 08:36 Uhr
Moin,
naja..du hast doch 2 Interface konfiguriert. Der Port an dem die Standleitung oder DSL dran hängt ist der WAN-Port (musst du über Konsole auslesen) und der andere Port ist dann der LAN Port. Du solltest vllt. auch einfach "Descriptions" einführen - das macht es oft einfacher - auch für die Zukunft.

Kann es sein, dass du die PIX mit der Oberfläche konfiguriert hast?! Ist ja ganz nett, aber die feinen Dinge kannst du eben nur auf der COnsole machen...also üben, üben, üben.


Grüße
Dani
Bitte warten ..
Mitglied: kalamazoo
04.04.2008 um 13:02 Uhr
Moinsn,
*gg* also ich selbst habe daran gar nix konfiguriert, das war ein Kumpel von mir, der davon ein wenig mehr ahnung hat. Der ist allerdings grade im Skiurlaub und kurioserweise auch nicht zu erreichen o0
Deswegen ist das nun tatsächltlich das erste mal, dass ich mich an das Teil heranwage.
Sag mir am besten einfach genau, was ich eingeben muss, um den wan-port abzulesen(in welcher form wird der denn angegeben? als ip-addresse?) und wo ich ihn ablesen kann,
und wo ich die anderen beiden infos herbekomme ;)
der Lan-Port ist dann also die schnittstelle wo mein PC dran hängt, richtig? also nicht die IP-addresse von meinem pc, sondern nur die stelle wo er dran hängt? und wo kann ich deren Addresse auslesen?
*verwirrt*
Oli
Bitte warten ..
Mitglied: Dani
07.04.2008 um 08:29 Uhr
Guten Morgen Oli,
also geh in den "en" Modus und geb mal sh ip int brief ein. Somit müsstest du alle Interface sehen. Eines müsste "Dialer" heißen. Das ist dein WAN-Interface. Nun gibt es 2 Möglichkeiten:
Hängen alle Rechner direkt an der PIX oder erst ein Switch und dort dann alle Rechner?
Ansonsten geb mal "sh int desc" ein. Vllt. hat er ein Interfacebeschreibung hinterlegt (macht man heute normal). *g*

der Lan-Port ist dann also die schnittstelle wo mein PC dran hängt, richtig?
Genau, einfach der Port auf dem der Rechner / Server angeschlossen ist, auf den der Port geforwardert werden soll.


Grüße
Dani
Bitte warten ..
Mitglied: kalamazoo
07.04.2008 um 13:50 Uhr
Moinsen,
wenn ich die beiden Befehle eingebe, sieht das so aus:
WohnzimmerPIX(config)# sh ip int brief
Invalid keyword: "int"
Usage: [no] ip address <if_name> <ip_address> [<mask>]
[no] ip address <if_name> <ip_address> <mask> pppoe [setroute]
[no] ip address <if_name> dhcp [setroute] [retry <retry_cnt>]
[no] ip address <if_name> pppoe [setroute]
ip local pool <poolname> <ip1>[-<ip2>]
ip verify reverse-path interface <if_name>
ip audit {info|attack} action [alarm] [drop] [reset]
ip audit name <audit_name> {info|attack} [action [alarm] [drop] [reset]]

ip audit interface <if_name> <audit_name>
ip audit signature <sig_number> disable
show|clear ip audit count [global] [interface <interface>]
show ip [address [<if_name> [pppoe|dhcp [lease|server]]]]
WohnzimmerPIX(config)# sh int desc
Usage: interface <hardware_id> [<hw_speed> [shutdown]]
[no] interface <hardware_id> <vlan_id> [logical|physical] [shutdown]
interface <hardware_id> change-vlan <old_vlan_id> <new_vlan_id>
show interface
WohnzimmerPIX(config)#



bei uns hängen alle rechner direkt an der pix...


"der Lan-Port ist dann also die schnittstelle wo mein PC dran hängt, richtig?
Genau, einfach der Port auf dem der Rechner / Server angeschlossen ist, auf den der Port geforwardert werden soll."
okay, und wo kann ich auslesen wie dieser port bezeichnet wird?


danke für Deine Geduld ;)
Bitte warten ..
Mitglied: Dani
07.04.2008 um 14:06 Uhr
Ich habe nichts von "config" - Modus gesagt! => WohnzimmerPIX(config)#

"der Lan-Port ist dann also die schnittstelle wo mein PC dran hängt, richtig?
Richtig...

okay, und wo kann ich auslesen wie dieser port bezeichnet wird?
Ka....es werden die Ports normal durchnummiert. z.B. FastEthernet0/1 oder FastEthernet1...


Grüße
Dani
Bitte warten ..
Mitglied: kalamazoo
07.04.2008 um 16:07 Uhr
01.
WohnzimmerPIX# sh ip int brief 
02.
Invalid keyword:  "int" 
03.
Usage:  [no] ip address <if_name> <ip_address> [<mask>] 
04.
        [no] ip address <if_name> <ip_address> <mask> pppoe [setroute] 
05.
        [no] ip address <if_name> dhcp [setroute] [retry <retry_cnt>] 
06.
        [no] ip address <if_name> pppoe [setroute] 
07.
        ip local pool <poolname> <ip1>[-<ip2>] 
08.
        ip verify reverse-path interface <if_name> 
09.
        ip audit {info|attack} action [alarm] [drop] [reset] 
10.
        ip audit name <audit_name> {info|attack} [action [alarm] [drop] [reset]] 
11.
 
12.
        ip audit interface <if_name> <audit_name> 
13.
        ip audit signature <sig_number> disable 
14.
        show|clear ip audit count [global] [interface <interface>] 
15.
        show ip [address [<if_name> [pppoe|dhcp [lease|server]]]] 
16.
 
17.
WohnzimmerPIX# sh ip brief 
18.
Invalid keyword:  "brief" 
19.
Usage:  [no] ip address <if_name> <ip_address> [<mask>] 
20.
        [no] ip address <if_name> <ip_address> <mask> pppoe [setroute] 
21.
        [no] ip address <if_name> dhcp [setroute] [retry <retry_cnt>] 
22.
        [no] ip address <if_name> pppoe [setroute] 
23.
        ip local pool <poolname> <ip1>[-<ip2>] 
24.
        ip verify reverse-path interface <if_name> 
25.
        ip audit {info|attack} action [alarm] [drop] [reset] 
26.
        ip audit name <audit_name> {info|attack} [action [alarm] [drop] [reset]] 
27.
 
28.
        ip audit interface <if_name> <audit_name> 
29.
        ip audit signature <sig_number> disable 
30.
        show|clear ip audit count [global] [interface <interface>] 
31.
        show ip [address [<if_name> [pppoe|dhcp [lease|server]]]] 
32.
WohnzimmerPIX# sh ip 
33.
System IP Addresses: 
34.
        ip address outside 84.142.237.71 255.255.255.255 
35.
        ip address inside 10.10.10.1 255.255.255.0 
36.
Current IP Addresses: 
37.
        ip address outside 84.142.237.71 255.255.255.255 
38.
        ip address inside 10.10.10.1 255.255.255.0 
39.
WohnzimmerPIX# sh int desc 
40.
Usage:  interface <hardware_id> [<hw_speed> [shutdown]] 
41.
        [no] interface <hardware_id> <vlan_id> [logical|physical] [shutdown] 
42.
        interface <hardware_id> change-vlan <old_vlan_id> <new_vlan_id> 
43.
        show interface
soo... das sind die befehle nochmal ohne den config modus.
vllt hilft es dir wenn ich dir mal meine komplette konfig zeige? habe in anderen foren doch noch ein bisschen was gefunden, und in die konfig reingepackt.
vielleicht kannst du mir dann einfach sagen, was noch fehlt?
01.
//PIX Version 6.3(3)  
02.
interface ethernet0 10basetp-se  
03.
mtu outside  
04.
interface ethernet1 100full  
05.
mtu in 
06.
nameif ethernet0 outside security0  
07.
ip address out 
08.
nameif ethernet1 inside security100stype_obj_grp_id  
09.
enable password xxxx encrypted  
10.
ip address inside 10.10.10.1 255.255. 
11.
passwd xxxxx encrypted  
12.
telnet 10.10.10.2 2 
13.
hostname WohnzimmerPIX  
14.
domain-name ciscopix.com name MYAUDIT attack act 
15.
fixup protocol dns maximum-length 512255 insidepr  
16.
fixup protocol ftp 21  
17.
fixup protocol h323 h225 1720YAUDITinfo info action alarmt 
18.
fixup protocol h323 ras 1718-1719  
19.
fixup protocol http 80  
20.
 
21.
pdm location 10. 
22.
fixup protocol ils 389 inside  
23.
fixup protocol rsh 514  
24.
Wohnzimm  
25.
fixup protocol rtsp 55n  
26.
access-list inbound permit tcp any any eq 6112  
27.
arp timeout 144000 sip 0:30:00  
28.
access-list inbound permit udp any any eq 6112 1 interface remark <text>  
29.
pager lines 24  
30.
vpdn g 
31.
logging timestamp 
32.
nat (inside) 1 0 
33.
logging monitor debugging  
34.
logging buffered debugging,outside) tcp interface ww 
35.
logging trap notifications5.255.255.255**Jao/r06XEQM 
36.
logging history debugginge multica  
37.
logging host inside 10.10.10.2 6/1468  
38.
mtu outside 1500  
39.
mtu inside 1500dhcp  
40.
0 0re 
41.
ip address outside pppoe setrouteol local255.255 insidece <if_na  
42.
ip address inside 10.10.10  
43.
ip audit info action alarmerver location023069  
44.
ip audit attack action alarmnmp-server contact[netmask < 
45.
pdm location 10.10.10.3 255.255.255.255 inside  
46.
snmp-server community publicudit name  
47.
pdm location 10.10.10.4 255.255.255.255 inside  
48.
 
49.
snmp-server enable tr 
50.
pdm location 10.10.10.5 255.255.255.255 inside  
51.
floodguard enableerface outsi  
52.
pdm logging informational 10010.10.10.2 255.255.255.255 in 
53.
pdm history enable]interface outside 
54.
arp timeout 14400  
55.
global (outside) 1 interface  
56.
teln 
57.
nat (inside) 1 0.0.0.0 0.0.0.0 0 0enzimmerPIX(config)# static (  
58.
0 03 25 
59.
static (inside,outside) tcp interface 6112 10.10.10.1 6112 netmask 255.255.255.2  
60.
pdm location 10  
61.
ssh 10.10.10.2 255.255.255.wr  
62.
55 0 0  
63.
static (inside,outside) udp interface 6112 10.10.10.1 6112 netmask 255.255.255.2EQMNWGt encryptedssword fJao/r06XEQM  
64.
55 0 0  
65.
access-group inbound in interface outside  
66.
0 0encr  
67.
static ( 
68.
timeout xlate 0:05:00swd f  
69.
vpdn gr 
70.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00  
71.
hostname WohnzimmerPIX  
72.
 
73.
dhcpd auto_config outs 
74.
no snmp-server contact  
75.
snmp-server community public  
76.
dhcpd enable insideimeou 
77.
telnet 10.10.10.3 255.255.255.255 inside 
78.
telnet 10.10.10.5 255.255.255.255 inside 
79.
telnet timeout 10 
80.
ssh 10.10.10.5 255.255.255.255 inside 
81.
ssh 10.10.10.3 255.255.255.255 inside 
82.
ssh 10.10.10.2 255.255.255.255 inside 
83.
ssh 10.10.10.8 255.255.255.255 inside 
84.
ssh 10.10.10.9 255.255.255.255 inside 
85.
ssh timeout 30 
86.
console timeout 0 
87.
vpdn group pppoe_group request dialout pppoe 
88.
vpdn group pppoe_group localname 0015850886405502306970370001@t-online.de 
89.
vpdn group pppoe_group ppp authentication pap 
90.
vpdn username 0015850886405502306970370001@t-online.de password ********* 
91.
dhcpd address 10.10.10.8-10.10.10.10 inside 
92.
dhcpd lease 3600 
93.
dhcpd ping_timeout 750 
94.
dhcpd auto_config outside 
95.
dhcpd enable inside 
96.
terminal width 100 
97.
Cryptochecksum:cae273d845e0a61518200ff4cbc803f4
Bitte warten ..
Mitglied: Dani
08.04.2008 um 22:13 Uhr
So...sieht ja nicht so schlecht aus - Ethernet0 und Ethernet1. Nun musst du am Router ablesen, wo du was gesteckt hast und meinen Schnipsel ändern - einspielen- gut ist.


Grüße
Dani

P.S. Du solltest dich schon ein wenig mit der Materie beschäftigen. Sonst wird das nichts...ich hab nicht vor in 2 Wochen nochmal dir alle vorzukauen!
Bitte warten ..
Mitglied: kalamazoo
11.04.2008 um 19:26 Uhr
moinsen!
ich hab endlich rausgefunden, worans lag, völlig simpel:
ich hatte an meinem pc keine feste ip adresse vergeben, dh. der port war für eine ip addresse freigegeben, die gar nicht existierte : >
danke für deine hilfe und vor allem deine geduld xD
grüße
reinhaun!
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Exchange Server
gelöst Hosted Exchange Firewall Ports (4)

Frage von Axel90 zum Thema Exchange Server ...

Router & Routing
Cisco 6500 telnet out of local ports (1)

Frage von profski15 zum Thema Router & Routing ...

Datenschutz
USB-Ports sperren über Kaspersky (1)

Frage von Tak-47 zum Thema Datenschutz ...

Sicherheitsgrundlagen
Reicht die Firewall des AVM 7390? (7)

Frage von Biriel zum Thema Sicherheitsgrundlagen ...

Heiß diskutierte Inhalte
Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Grafikkarten & Monitore
Tonprobleme bei Fernseher mit angeschlossenem Laptop über HDMI (11)

Frage von Y3shix zum Thema Grafikkarten & Monitore ...

Microsoft Office
Keine Updates für Office 2016 (11)

Frage von Motte990 zum Thema Microsoft Office ...