1
Probleme Konfiguration PIX 520 (OSPF, NAT, Multible Webserver)
Hallo Liebe Forum Gemeinde,
Ich habe ein "kleines" Problem. Ich sitze hier seid Wochen vor der PIX 520 und bekomme diese nicht richtig zum laufen. Habe schon verschiedene Möglichkeiten und Konfigs versucht, leider bleibt jedoch immer das Problem bestehen, dass ich aus dem Internet nicht auf die Web-Server hinter der Firewall zugreifen kann. Nun würde ich euch um eure Hilfe bitten, da ich wirklich nicht mehr weiter weiß. Habe schon unzählige Tut's und PDF´s durch wo das beschrieben wird, wie man diese Firewall Konfigurieren soll, leider bekomme ich es nicht auf meinen Anwendungsbereich überspielt.
Hier die Konfig wie sie zurzeit läuft...... bzw. nicht läuft!
PIX Version 6.3(3)
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 100full
interface ethernet3 100full
interface ethernet4 100full
interface ethernet5 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 office security80
nameif ethernet3 shop security70
nameif ethernet4 dmz security50
nameif ethernet5 failover security20
enable password encrypted
passwd encrypted
hostname *
domain-name
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol icmp error
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list compiled
pager lines 20
logging on
logging timestamp
logging standby
icmp permit any outside
icmp permit any inside
icmp permit any office
icmp permit any shop
icmp permit any dmz
mtu outside 1500
mtu inside 1500
mtu office 1500
mtu shop 1500
mtu dmz 1500
mtu failover 1500
ip address outside 213.240.xxx.xxx 255.255.255.0
ip address inside 192.168.xxx.xxx 255.255.255.0
ip address office 192.168.xxx.xxx 255.255.255.0
ip address shop 213.240.xxx.xxx 255.255.255.0
ip address dmz 81.92.xxx.xxx 255.255.xxx.xxx
ip address failover 192.168.xxx.xxx 255.255.255.0
ip verify reverse-path interface outside
ip verify reverse-path interface inside
ip verify reverse-path interface office
ip verify reverse-path interface shop
ip verify reverse-path interface dmz
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address office
no failover ip address shop
no failover ip address dmz
no failover ip address failover
pdm location 192.168.xxx.xxx 255.255.255.255 inside
pdm history enable
arp timeout 14400
global (outside) 1 81.92.xxx.xxx
global (office) 1 192.168.xxx.xxx-192.168.xxx.xxx netmask 255.255.255.0
global (shop) 1 213.240.xxx.xxx-213.240.xxx.xxx netmask 255.255.255.0
global (dmz) 1 213.240.xxx.xxx-213.240.xxx.xxx netmask 255.255.255.0
global (dmz) 1 213.240.xxx.xxx
nat (office) 0 0.0.0.0 0.0.0.0 dns 0 0
nat (shop) 0 0.0.0.0 0.0.0.0 dns 0 0
nat (dmz) 0 0.0.0.0 0.0.0.0 dns 0 0
routing interface outside
ospf message-digest-key 1 md5
ospf authentication message-digest
routing interface inside
ospf message-digest-key 2 md5
ospf authentication message-digest
routing interface office
ospf message-digest-key 3 md5 *
ospf authentication message-digest
routing interface shop
ospf message-digest-key 4 md5
ospf authentication message-digest
routing interface dmz
ospf message-digest-key 5 md5
ospf authentication message-digest
routing interface failover
ospf message-digest-key 6 md5
ospf authentication message-digest
router ospf 1
network 81.92.xxx.xxx 255.255.xxx.xxx area 81.92.xxx.xxx
area 81.92.xxx.xxx authentication message-digest
area 81.92.xxx.xxx range 19.168.xxx.xxx 255.255.255.255
router-id 81.92.xxx.xxx
log-adj-changes detail
router ospf 2
network 192.168.xxx.xxx 255.255.255.0 area 213.240.xxx.xxx
network 192.168.xxx.xxx 255.255.255.0 area 213.240.xxx.xxx
network 213.240.xxx.xxx 255.255.255.0 area 213.240.xxx.xxx
network 213.240.xxx.xxx 255.255.255.0 area 213.240.xxx.xxx
area 213.240.xxx.xxx authentication message-digest
area 213.240.xxx.xxx nssa
area 213.240.xxx.xxx range 192.168.xxx.xxx 255.255.255.255
router-id 213.240.xxx.xxx
log-adj-changes
redistribute ospf 1 subnets match internal external 1 external 2 nssa-external 1 nssa-external 2
route dmz 0.0.0.0 0.0.0.0 213.240.xxx.xxx 1
route outside 0.0.0.0 0.0.0.0 81.92.xxx.xxx 2
route shop 0.0.0.0 0.0.0.0 213.240.xxx.xxx 3
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 192.168.xxx.xxx 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet 192.168.xxx.xxx 255.255.255.0 inside
telnet timeout 5
ssh 192.168.xxx.xxx 255.255.255.0 inside
ssh timeout 5
management-access inside
console timeout 5
dhcpd address 192.168.xxx.xxx-192.168.xxx.xxx office
dhcpd dns 81.92.xxx.xxx 81.92.xxx.xxx
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable office
username password encrypted privilege 15
terminal width 80
banner login Welcom to the PIX configuration console, have fun
Cryptochecksum:0d6037236e473cf4b6a6a71f3f977789
: end
Freue mich über jeden Beitrag der hilfreich sein könnte.
Mit freundlichen Grüßen
Markus @ ExIT
Ich habe ein "kleines" Problem. Ich sitze hier seid Wochen vor der PIX 520 und bekomme diese nicht richtig zum laufen. Habe schon verschiedene Möglichkeiten und Konfigs versucht, leider bleibt jedoch immer das Problem bestehen, dass ich aus dem Internet nicht auf die Web-Server hinter der Firewall zugreifen kann. Nun würde ich euch um eure Hilfe bitten, da ich wirklich nicht mehr weiter weiß. Habe schon unzählige Tut's und PDF´s durch wo das beschrieben wird, wie man diese Firewall Konfigurieren soll, leider bekomme ich es nicht auf meinen Anwendungsbereich überspielt.
Hier die Konfig wie sie zurzeit läuft...... bzw. nicht läuft!
- Saved
- Written by superv at 15:29:36.825 UTC Sat Jun 10 2006
PIX Version 6.3(3)
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 100full
interface ethernet3 100full
interface ethernet4 100full
interface ethernet5 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 office security80
nameif ethernet3 shop security70
nameif ethernet4 dmz security50
nameif ethernet5 failover security20
enable password encrypted
passwd encrypted
hostname *
domain-name
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol icmp error
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list compiled
pager lines 20
logging on
logging timestamp
logging standby
icmp permit any outside
icmp permit any inside
icmp permit any office
icmp permit any shop
icmp permit any dmz
mtu outside 1500
mtu inside 1500
mtu office 1500
mtu shop 1500
mtu dmz 1500
mtu failover 1500
ip address outside 213.240.xxx.xxx 255.255.255.0
ip address inside 192.168.xxx.xxx 255.255.255.0
ip address office 192.168.xxx.xxx 255.255.255.0
ip address shop 213.240.xxx.xxx 255.255.255.0
ip address dmz 81.92.xxx.xxx 255.255.xxx.xxx
ip address failover 192.168.xxx.xxx 255.255.255.0
ip verify reverse-path interface outside
ip verify reverse-path interface inside
ip verify reverse-path interface office
ip verify reverse-path interface shop
ip verify reverse-path interface dmz
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address office
no failover ip address shop
no failover ip address dmz
no failover ip address failover
pdm location 192.168.xxx.xxx 255.255.255.255 inside
pdm history enable
arp timeout 14400
global (outside) 1 81.92.xxx.xxx
global (office) 1 192.168.xxx.xxx-192.168.xxx.xxx netmask 255.255.255.0
global (shop) 1 213.240.xxx.xxx-213.240.xxx.xxx netmask 255.255.255.0
global (dmz) 1 213.240.xxx.xxx-213.240.xxx.xxx netmask 255.255.255.0
global (dmz) 1 213.240.xxx.xxx
nat (office) 0 0.0.0.0 0.0.0.0 dns 0 0
nat (shop) 0 0.0.0.0 0.0.0.0 dns 0 0
nat (dmz) 0 0.0.0.0 0.0.0.0 dns 0 0
routing interface outside
ospf message-digest-key 1 md5
ospf authentication message-digest
routing interface inside
ospf message-digest-key 2 md5
ospf authentication message-digest
routing interface office
ospf message-digest-key 3 md5 *
ospf authentication message-digest
routing interface shop
ospf message-digest-key 4 md5
ospf authentication message-digest
routing interface dmz
ospf message-digest-key 5 md5
ospf authentication message-digest
routing interface failover
ospf message-digest-key 6 md5
ospf authentication message-digest
router ospf 1
network 81.92.xxx.xxx 255.255.xxx.xxx area 81.92.xxx.xxx
area 81.92.xxx.xxx authentication message-digest
area 81.92.xxx.xxx range 19.168.xxx.xxx 255.255.255.255
router-id 81.92.xxx.xxx
log-adj-changes detail
router ospf 2
network 192.168.xxx.xxx 255.255.255.0 area 213.240.xxx.xxx
network 192.168.xxx.xxx 255.255.255.0 area 213.240.xxx.xxx
network 213.240.xxx.xxx 255.255.255.0 area 213.240.xxx.xxx
network 213.240.xxx.xxx 255.255.255.0 area 213.240.xxx.xxx
area 213.240.xxx.xxx authentication message-digest
area 213.240.xxx.xxx nssa
area 213.240.xxx.xxx range 192.168.xxx.xxx 255.255.255.255
router-id 213.240.xxx.xxx
log-adj-changes
redistribute ospf 1 subnets match internal external 1 external 2 nssa-external 1 nssa-external 2
route dmz 0.0.0.0 0.0.0.0 213.240.xxx.xxx 1
route outside 0.0.0.0 0.0.0.0 81.92.xxx.xxx 2
route shop 0.0.0.0 0.0.0.0 213.240.xxx.xxx 3
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 192.168.xxx.xxx 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet 192.168.xxx.xxx 255.255.255.0 inside
telnet timeout 5
ssh 192.168.xxx.xxx 255.255.255.0 inside
ssh timeout 5
management-access inside
console timeout 5
dhcpd address 192.168.xxx.xxx-192.168.xxx.xxx office
dhcpd dns 81.92.xxx.xxx 81.92.xxx.xxx
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable office
username password encrypted privilege 15
terminal width 80
banner login Welcom to the PIX configuration console, have fun
Cryptochecksum:0d6037236e473cf4b6a6a71f3f977789
: end
Freue mich über jeden Beitrag der hilfreich sein könnte.
Mit freundlichen Grüßen
Markus @ ExIT
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 33973
Url: https://administrator.de/contentid/33973
Printed on: April 20, 2024 at 03:04 o'clock
1 Comment
Eigentlich nicht. Die Webserver (Webhosting, E-Mail usw.) greiffeneigentlich einfach nur auf die Applicationserver zu wenn es nötig ist. Der Traffic wird über einen Loadbalancer an die einzelnen Server verteilt. Ob die Application Server nun im Öffentlichen IP segment liegen oder nicht, ist eigentlich egal, oder?
Das größere Problem was ich zur Zeit habe ist das OSPF .... habe mir gedacht macht die Config neu, leider ist das Backup defekt und ich bekomme das OSPF nicht mehr zum laufen ....
Aber kannst ja mal gerne schreiben, wie du es aufbauen würdest .... vielleicht kann man sich da ja etwas abschauen :D
Das größere Problem was ich zur Zeit habe ist das OSPF .... habe mir gedacht macht die Config neu, leider ist das Backup defekt und ich bekomme das OSPF nicht mehr zum laufen ....
Aber kannst ja mal gerne schreiben, wie du es aufbauen würdest .... vielleicht kann man sich da ja etwas abschauen :D
