Cisco PIX 501 Zugriff von aussen

Mitglied: Dkuehlborn

Dkuehlborn (Level 1)

03.09.2007, aktualisiert 26.09.2007, 4316 Aufrufe, 5 Kommentare

Hallo Forum,

dank Eurer Hilfe konnte ich meine PIX501 so konfigurieren, dass sie gut und zuverlässig läuft. Nun habe ich eine weitere Anforderung an meine PIX501 und möchte mal von Euch wissen, ob es funktionieren kann und wie es ggf konfiguriert wird.

Die PIX 501 ist bei uns im Netzwerk zwischen zwei Abteilungen geschaltet. Abteilung 1 (inside) soll auf Teile von Abteilung 2 (outside) zugreifen. Nun soll ich für einzelne PC einen Zugriff von Abteilung 2 (outside) auf Abteilung 1 (inside) schalten. Da die PIX 501 nicht direkt mit dem Internet verbunden ist, stellt dieses keine besondere Gefahr dar.

Ich möchte z.B. mit dem Host 10.0.1.190 vom Outside-Interface (10.0.2.251) auf den Host 192.168.1.5 am Inside-Interface (192.168.1.245) zugreifen.

Könnt Ihr mir hierbei weiterhelfen?

Vielen Dank im Voraus

Dieter
01.
PIX Version 6.3(5)
02.
interface ethernet0 auto
03.
interface ethernet1 100full
04.
nameif ethernet0 outside security0
05.
nameif ethernet1 inside security100
06.
enable password XXXXXXXXX encrypted
07.
passwd XXXXXXX encrypted
08.
hostname pix501
09.
domain-name netzwerk.local
10.
fixup protocol dns maximum-length 512
11.
fixup protocol ftp 21
12.
fixup protocol h323 h225 1720
13.
fixup protocol h323 ras 1718-1719
14.
fixup protocol http 80
15.
fixup protocol pptp 1723
16.
fixup protocol rsh 514
17.
fixup protocol rtsp 554
18.
fixup protocol sip 5060
19.
fixup protocol sip udp 5060
20.
fixup protocol skinny 2000
21.
fixup protocol smtp 25
22.
fixup protocol sqlnet 1521
23.
fixup protocol tftp 69
24.
names
25.
name 10.0.2.1 EXSERVER
26.
name 10.0.2.201 DNSERVER
27.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq www log 7 
28.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq https log 7 
29.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ftp-data log 7 
30.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ftp log 7 
31.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ssh log 7 
32.
access-list inside-acl permit udp 192.168.1.0 255.255.255.0 host DNSERVEReq domain log 7 
33.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 host EXSERVER log 7 
34.
access-list inside-acl deny tcp any any log 7 
35.
access-list inside-acl deny udp any any log 7 
36.
access-list inside-acl deny icmp any any log 7 
37.
access-list inside-acl deny ip any any log 7 
38.
access-list outside-acl deny icmp any any log 7 
39.
pager lines 24
40.
logging on
41.
logging timestamp
42.
logging trap debugging
43.
logging history warnings
44.
logging facility 23
45.
logging host outside 10.0.1.190
46.
icmp deny any outside
47.
mtu outside 1500
48.
mtu inside 1500
49.
ip address outside 10.0.2.251 255.255.0.0
50.
ip address inside 192.168.1.245 255.255.255.0
51.
ip audit info action alarm
52.
ip audit attack action alarm drop
53.
pdm location DNSERVER 255.255.255.255 outside
54.
pdm logging debugging 100
55.
pdm history enable
56.
arp timeout 14400
57.
global (outside) 1 interface
58.
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
59.
access-group outside-acl in interface outside
60.
access-group inside-acl in interface inside
61.
route outside 0.0.0.0 0.0.0.0 ED-DC-01 1
62.
timeout xlate 0:05:00
63.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
64.
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
65.
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
66.
timeout uauth 0:05:00 absolute
67.
aaa-server TACACS+ protocol tacacs+ 
68.
aaa-server TACACS+ max-failed-attempts 3 
69.
aaa-server TACACS+ deadtime 10 
70.
aaa-server RADIUS protocol radius 
71.
aaa-server RADIUS max-failed-attempts 3 
72.
aaa-server RADIUS deadtime 10 
73.
aaa-server LOCAL protocol local 
74.
http server enable
75.
http 192.168.1.0 255.255.255.0 inside
76.
no snmp-server location
77.
no snmp-server contact
78.
snmp-server community public
79.
no snmp-server enable traps
80.
floodguard enable
81.
telnet timeout 5
82.
ssh timeout 5
83.
console timeout 0
84.
terminal width 80
Mitglied: aqui
03.09.2007 um 17:16 Uhr
access-list outside-acl permit ip 10.0.1.190 255.255.255.255 192.168.1.5 255.255.255.255

Sollte dein Problem lösen. Mit IP lässt du natürlich alles durch. Das solltest du ggf. auf deine Anwendung (TCP Port) noch beschränken.
Mitglied: Dkuehlborn
24.09.2007 um 16:23 Uhr
Hallo Forum,

ich habe jetzt nach meinem Urlaub mich wieder mit diesem Problem auseinander gesetzt und bin bisher zu keiner Lösung gekommen.

Hier ist meine aktuelle Konfiguration:

01.
PIX Version 6.3(5)
02.
interface ethernet0 auto
03.
interface ethernet1 100full
04.
nameif ethernet0 outside security0
05.
nameif ethernet1 inside security100
06.
enable password XXXXX encrypted
07.
passwd XXXX encrypted
08.
hostname PIX501
09.
domain-name netzwerk.local
10.
fixup protocol dns maximum-length 512
11.
fixup protocol ftp 21
12.
fixup protocol h323 h225 1720
13.
fixup protocol h323 ras 1718-1719
14.
fixup protocol http 80
15.
fixup protocol pptp 1723
16.
fixup protocol rsh 514
17.
fixup protocol rtsp 554
18.
fixup protocol sip 5060
19.
fixup protocol sip udp 5060
20.
fixup protocol skinny 2000
21.
fixup protocol smtp 25
22.
fixup protocol sqlnet 1521
23.
fixup protocol tftp 69
24.
names
25.
name 10.0.2.1 EXSERVER
26.
name 10.0.2.201 DNSERVER
27.
name 10.0.1.190 BBWS0001
28.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq www log 7 
29.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq https log 7 
30.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ftp-data log 7 
31.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ftp log 7 
32.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ssh log 7 
33.
access-list inside-acl permit udp 192.168.1.0 255.255.255.0 host ED-DC-01 log 7 
34.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 host EDPGFS01 log 7 
35.
access-list inside-acl permit tcp any any log 7 
36.
access-list inside-acl permit udp any any log 7 
37.
access-list inside-acl permit icmp any any log 7 
38.
access-list inside-acl permit ip any any log 7 
39.
access-list outside-acl permit icmp any any 
40.
access-list outside-acl permit ip any 192.168.7.0 255.255.255.0 
41.
access-list outside-acl permit udp any 192.168.7.0 255.255.255.0 
42.
access-list outside-acl permit tcp any 192.168.7.0 255.255.255.0 
43.
pager lines 24
44.
logging on
45.
logging timestamp
46.
logging trap debugging
47.
logging history warnings
48.
logging facility 23
49.
logging host outside 10.0.1.190
50.
icmp deny any outside
51.
icmp permit any outside
52.
mtu outside 1500
53.
mtu inside 1500
54.
ip address outside 10.0.2.251 255.255.0.0
55.
ip address inside 192.168.1.245 255.255.255.0
56.
ip audit info action alarm
57.
ip audit attack action alarm drop
58.
pdm logging informational 100
59.
pdm history enable
60.
arp timeout 14400
61.
global (outside) 1 interface
62.
nat (inside) 1 192.168.1.0 255.255.255.0 dns 0 0
63.
static (inside,outside) interface 192.168.1.100 netmask 255.255.255.255 0 0 
64.
access-group outside-acl in interface outside
65.
access-group inside-acl in interface inside
66.
route outside 0.0.0.0 0.0.0.0 DNSERVER 1
67.
timeout xlate 0:05:00
68.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
69.
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
70.
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
71.
timeout uauth 0:05:00 absolute
72.
aaa-server TACACS+ protocol tacacs+ 
73.
aaa-server TACACS+ max-failed-attempts 3 
74.
aaa-server TACACS+ deadtime 10 
75.
aaa-server RADIUS protocol radius 
76.
aaa-server RADIUS max-failed-attempts 3 
77.
aaa-server RADIUS deadtime 10 
78.
aaa-server LOCAL protocol local 
79.
http server enable
80.
http 192.168.1.0 255.255.255.0 inside
81.
no snmp-server location
82.
no snmp-server contact
83.
snmp-server community public
84.
no snmp-server enable traps
85.
floodguard enable
86.
telnet timeout 5
87.
ssh timeout 5
88.
console timeout 0
89.
terminal width 80
Zurzeit kann ich von der Station 192.168.1.100 über die PIX501 im Internet surfen und auf das Netzwerk 10.0.0.0/16 zugreifen. Von der Station 10.0.1.190 besteht zurzeit kein Zugriff auf die Station 192.168.1.100.

Ändere ist die Static-Anweisung wie folgt ab

01.
static (inside,outside) 192.168.1.100 192.168.1.100 netmask 255.255.255.255 0 0 
kann ich den gewünschten Zugriff von 10.0.1.190 auf 192.168.1.100 ausführen, habe aber an der Station 192.168.1.100 keinen Zugriff auf das Internet.

Habe ich die Möglichkeit die beide Anforderungen mit der PIX 501 unter einen Hut zu bringen?
1. Zugriff von 10.0.1.190 (outside) auf 192.168.1.100 (inside) und
2. Zugriff von 192.168.1.100 (inside) auf Internet via (outside)

Vielen Dank für Eure Bemühungen

Viele Grüße

Dieter
Mitglied: aqui
24.09.2007 um 19:56 Uhr
Du willst ja nicht NAT machen ins inside Netz. Es reicht wenn du einfach die out ACL öffnest und dort den Host 192.168.1.100 erlaubst von 10.0.1.190 mit IP oder eingeschränkt auf z.B. TCP 22 wenn du nur SSH machen willst (23 nur Telnet).
Mitglied: Dkuehlborn
24.09.2007 um 22:24 Uhr
Hallo aqui,

danke für Deine Antwort.

In meiner Konfig ist ein Tippfehler.
01.
access-list outside-acl permit ip any 192.168.7.0 255.255.255.0 
02.
access-list outside-acl permit udp any 192.168.7.0 255.255.255.0 
03.
access-list outside-acl permit tcp any 192.168.7.0 255.255.255.0 
Die korrekte Outside-ACL ist.
01.
access-list outside-acl permit ip any 192.168.1.0 255.255.255.0 
02.
access-list outside-acl permit udp any 192.168.1.0 255.255.255.0 
03.
access-list outside-acl permit tcp any 192.168.1.0 255.255.255.0 
Wenn ich dich richtig verstanden habe, sollte ich zusätzlich die folgende ACL eintragen und das NAT in der Konfig drinnlassen (für Zugriff auf Internet)

01.
access-list outside-acl permit ip 192.168.1.100 255.255.255.0 10.0.1.190 255.255.255.0
Ich habe mir schon überlegt, ob mein Szenario hier besser mit einer DMZ einzurichten ist.

Inside (192.168.1.x)
DMZ (10.0.1.x)
Outside (Internet mit NAT)

Was denkst Du darüber.

Viele Grüße

Dieter
Mitglied: aqui
26.09.2007 um 17:57 Uhr
Mmmmmh, das ist Ansichtssache zumal eine richtige DMZ schwer ist mit ner Pix, denn die hat ja nur 2 Ports du brauchst dann aber 3 Ports oder löst es mit der DMZ des kleinen Mannes
http://www.heise.de/netze/artikel/78397
Titel: Cisco PIX 501 Zugriff von aussen
Content-ID: 67751
Art des Inhalts: Frage
Ausgedruckt am: 22.08.2019 um 11:10:58 Uhr
URL: https://administrator.de/contentid/67751