Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Sicherheit Firewall

Client - DNS Server - Pix 501 - Internet funktioniert nicht

Mitglied: porschefan

porschefan (Level 1) - Jetzt verbinden

28.06.2007, aktualisiert 18.10.2012, 5517 Aufrufe, 5 Kommentare

Hallo Zusammen,

habe ein Problem meine Clients ins Internet zu bekommen. Das ganze Netzwerk hängt hinter einer Pix. Mit dem Server komme ich auch ohne Probleme ins Internet.

Versuche ich nun mit den Clients ins Internet zu kommen, bekomme ich vom Browser immer gesagt das die Seite nicht gefunden werden kann.

Ein Ping auf www.heise.de zeigt mir allerdings die IP-Adresse an. Auch ein NSLookup liefert folgendes.

Nicht-autorisierende Antwort:
Name: www.heise.de
Address: 193.99.144.85

Diese Antwort kommt auch recht zügig. Was muß ich nun noch anstellen damit auch die Clients Internetseiten anzeigen?

Hoffe ihr könnt mir helfen.

Gruß porschefan
Mitglied: Rafiki
29.06.2007, aktualisiert 18.10.2012
Es wäre hilfreich wenn du deine Konfig postest, bereinigt um öffentliche IP und Passworte natürlich. Wenn du das nicht möchtest kannst du mir auch gerne eine persönliche Nachricht schreiben.

Basierend auf deinem letzten posting mutmaße ich mal, dass der Server, von dem aus du im Internet surfen kannst, auch für DNS zuständig ist. Evtl. fehlt eine NAT Regel damit die internetn IP Adressen übersetzt werden auf das externe Interface oder eine access-list Regel die deinen Clients überhaubt erlaubt ins Internet zu surfen.

Ich bevorzuge es allerdings, dass die Clients eben nicht selber im Internet Surfen sondern einen Proxy Server verwenden müssen. Das erhöht die Sicherheit ungemein wenn der Proxy zusätzlich eine "Filter den ganzen schei... raus" funktion hat. z.b. von TrendMicro oder Marshal.com oder div. anderen Anbietern.

Ein guter einfacher Proxy, leider ohne Virusfilter, ist FreeProxy
Beschreibung: http://www.snapfiles.com/reviews/FreeProxy/freeproxy.html
Anbieter: http://www.handcraftedsoftware.org/

Damit du nicht jedem Client einzeln den neuen Proxy beibringen mußt hier ein Vorschlag.
http://www.administrator.de/forum/gruppenrichtlinie-nicht-anwenden%2c-w ...

Gruß Rafiki
Bitte warten ..
Mitglied: porschefan
29.06.2007 um 13:40 Uhr
Hallo Rafiki,

hier meine Config der Pix:

PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxxxxx encrypted
passwd xxxxxx encrypted
hostname meine-pix
domain-name meins.loc
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
logging on
icmp deny any outside
mtu outside 1500
mtu inside 1500
ip address outside pppoe setroute
ip address inside 10.10.10.250 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 10.10.10.0 255.255.255.0 inside
pdm logging debugging 100
pdm history enable
arp timeout 14400
global (outside) 10 interface
global (inside) 1 interface
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 10.10.10.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname xxxxxx
vpdn group pppoe_group ppp authentication pap
vpdn username xxxxxx password *
username pix-admin password xxxxxx encrypted privilege 15
terminal width 80
: end

Gruß porschefan
Bitte warten ..
Mitglied: Rafiki
29.06.2007 um 14:37 Uhr
Deine config ist ja noch fast default. Schön übersichtlich.
Ich meine dein NAT sieht ungewöhlich aus. Bitte mal löschen:
no global (outside) 10 interface
no global (inside) 1 interface
no nat (inside) 10 0.0.0.0 0.0.0.0 0 0

Probier es bitte mal so:
nat (inside) 1 10.10.10.0 255.255.255.0
global (outside) 1 interface

gruß Rafiki
Bitte warten ..
Mitglied: porschefan
29.06.2007 um 14:46 Uhr
hatte nicht viel Zeit da was einzurichten und zu versuchen.

Wichtig war erst mal das die Kollegen ins I-Net kommen und von Aussen nichts passieren darf.

Werde deinen Vorschlag aber mal testen. Melde mich dann noch mal.

Gruß porschefan
Bitte warten ..
Mitglied: porschefan
30.06.2007 um 16:05 Uhr
Hallo Rafiki,

hab deinen Vorschlag eben testen können. Leider das gleiche Ergebnis wie vorher auch. Seiten werden nicht aufgebaut, nslookup gibt aber die IP zurück.

Wenn ich jetzt auf dem Client die Pix als Standardgateway eintrage funktioniert alles. Aber das sollte es meines Erachtens ja nicht sein, oder?

Also sollten die Einstellungen an der Pix doch OK sein. Könnte es sein das ich beim DNS was falsch eingetragen habe? Aber warum gibt er mir dann die IP zurück wenn ich z.B. Heise anpinge?

Hoffe du hast noch einen Tip auf Lager.

Gruß porschefan
Bitte warten ..
Ähnliche Inhalte
Firewall
Cisco PIX 501 Firewall und Putty
gelöst Frage von User85aFirewall6 Kommentare

Schönen Guten Abend Ich Weiß einfach nicht mehr weiter ist zwar ne Blöde frage aber irgendwie bekomme ich das ...

Router & Routing
Keine PDM-Konfiguration meiner guten alten pix 501
Frage von rabo001Router & Routing1 Kommentar

Hallo, ich weis es ist ein Uraltteil aber ich möchte sie weiter nutzen meine pix501. Nur jetzt gibt es ...

Windows Netzwerk
Windows Server 2008 DNS kein Internet, Clients schon
Frage von TheOnlyOneWindows Netzwerk6 Kommentare

Hallo zusammen, ich habe eine etwas wilde Testumgebung aufgebaut. FritzBox -> Pfsense -> WindowsServer 2008 DNS -> Win 7 ...

Router & Routing
Server Konfiguration - Internet auf Clients
Frage von JinvsjackRouter & Routing4 Kommentare

Tach zusammen, ich hab folgende Fachfrage. Clients (Win 7) sind in einer Domäne über einen Server (DHCP, DNS, AD) ...

Neue Wissensbeiträge
Microsoft

Letzte Updates für Win10 und Server2016 müssen bei Bedarf über den Update catalogue in den WSUS importiert werden!

Tipp von DerWoWusste vor 2 StundenMicrosoft

automatisch kommt da nichts an im WSUS und auch nicht im SCCM. Siehe Hinweise zum Bezug der jeweils neuesten ...

Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit13 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk8 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...