Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Cisco PIX 501 Zugriff von aussen

Mitglied: Dkuehlborn

Dkuehlborn (Level 1) - Jetzt verbinden

03.09.2007, aktualisiert 26.09.2007, 4311 Aufrufe, 5 Kommentare

Hallo Forum,

dank Eurer Hilfe konnte ich meine PIX501 so konfigurieren, dass sie gut und zuverlässig läuft. Nun habe ich eine weitere Anforderung an meine PIX501 und möchte mal von Euch wissen, ob es funktionieren kann und wie es ggf konfiguriert wird.

Die PIX 501 ist bei uns im Netzwerk zwischen zwei Abteilungen geschaltet. Abteilung 1 (inside) soll auf Teile von Abteilung 2 (outside) zugreifen. Nun soll ich für einzelne PC einen Zugriff von Abteilung 2 (outside) auf Abteilung 1 (inside) schalten. Da die PIX 501 nicht direkt mit dem Internet verbunden ist, stellt dieses keine besondere Gefahr dar.

Ich möchte z.B. mit dem Host 10.0.1.190 vom Outside-Interface (10.0.2.251) auf den Host 192.168.1.5 am Inside-Interface (192.168.1.245) zugreifen.

Könnt Ihr mir hierbei weiterhelfen?

Vielen Dank im Voraus

Dieter
01.
PIX Version 6.3(5)
02.
interface ethernet0 auto
03.
interface ethernet1 100full
04.
nameif ethernet0 outside security0
05.
nameif ethernet1 inside security100
06.
enable password XXXXXXXXX encrypted
07.
passwd XXXXXXX encrypted
08.
hostname pix501
09.
domain-name netzwerk.local
10.
fixup protocol dns maximum-length 512
11.
fixup protocol ftp 21
12.
fixup protocol h323 h225 1720
13.
fixup protocol h323 ras 1718-1719
14.
fixup protocol http 80
15.
fixup protocol pptp 1723
16.
fixup protocol rsh 514
17.
fixup protocol rtsp 554
18.
fixup protocol sip 5060
19.
fixup protocol sip udp 5060
20.
fixup protocol skinny 2000
21.
fixup protocol smtp 25
22.
fixup protocol sqlnet 1521
23.
fixup protocol tftp 69
24.
names
25.
name 10.0.2.1 EXSERVER
26.
name 10.0.2.201 DNSERVER
27.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq www log 7 
28.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq https log 7 
29.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ftp-data log 7 
30.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ftp log 7 
31.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ssh log 7 
32.
access-list inside-acl permit udp 192.168.1.0 255.255.255.0 host DNSERVEReq domain log 7 
33.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 host EXSERVER log 7 
34.
access-list inside-acl deny tcp any any log 7 
35.
access-list inside-acl deny udp any any log 7 
36.
access-list inside-acl deny icmp any any log 7 
37.
access-list inside-acl deny ip any any log 7 
38.
access-list outside-acl deny icmp any any log 7 
39.
pager lines 24
40.
logging on
41.
logging timestamp
42.
logging trap debugging
43.
logging history warnings
44.
logging facility 23
45.
logging host outside 10.0.1.190
46.
icmp deny any outside
47.
mtu outside 1500
48.
mtu inside 1500
49.
ip address outside 10.0.2.251 255.255.0.0
50.
ip address inside 192.168.1.245 255.255.255.0
51.
ip audit info action alarm
52.
ip audit attack action alarm drop
53.
pdm location DNSERVER 255.255.255.255 outside
54.
pdm logging debugging 100
55.
pdm history enable
56.
arp timeout 14400
57.
global (outside) 1 interface
58.
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
59.
access-group outside-acl in interface outside
60.
access-group inside-acl in interface inside
61.
route outside 0.0.0.0 0.0.0.0 ED-DC-01 1
62.
timeout xlate 0:05:00
63.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
64.
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
65.
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
66.
timeout uauth 0:05:00 absolute
67.
aaa-server TACACS+ protocol tacacs+ 
68.
aaa-server TACACS+ max-failed-attempts 3 
69.
aaa-server TACACS+ deadtime 10 
70.
aaa-server RADIUS protocol radius 
71.
aaa-server RADIUS max-failed-attempts 3 
72.
aaa-server RADIUS deadtime 10 
73.
aaa-server LOCAL protocol local 
74.
http server enable
75.
http 192.168.1.0 255.255.255.0 inside
76.
no snmp-server location
77.
no snmp-server contact
78.
snmp-server community public
79.
no snmp-server enable traps
80.
floodguard enable
81.
telnet timeout 5
82.
ssh timeout 5
83.
console timeout 0
84.
terminal width 80
Mitglied: aqui
03.09.2007 um 17:16 Uhr
access-list outside-acl permit ip 10.0.1.190 255.255.255.255 192.168.1.5 255.255.255.255

Sollte dein Problem lösen. Mit IP lässt du natürlich alles durch. Das solltest du ggf. auf deine Anwendung (TCP Port) noch beschränken.
Bitte warten ..
Mitglied: Dkuehlborn
24.09.2007 um 16:23 Uhr
Hallo Forum,

ich habe jetzt nach meinem Urlaub mich wieder mit diesem Problem auseinander gesetzt und bin bisher zu keiner Lösung gekommen.

Hier ist meine aktuelle Konfiguration:

01.
PIX Version 6.3(5)
02.
interface ethernet0 auto
03.
interface ethernet1 100full
04.
nameif ethernet0 outside security0
05.
nameif ethernet1 inside security100
06.
enable password XXXXX encrypted
07.
passwd XXXX encrypted
08.
hostname PIX501
09.
domain-name netzwerk.local
10.
fixup protocol dns maximum-length 512
11.
fixup protocol ftp 21
12.
fixup protocol h323 h225 1720
13.
fixup protocol h323 ras 1718-1719
14.
fixup protocol http 80
15.
fixup protocol pptp 1723
16.
fixup protocol rsh 514
17.
fixup protocol rtsp 554
18.
fixup protocol sip 5060
19.
fixup protocol sip udp 5060
20.
fixup protocol skinny 2000
21.
fixup protocol smtp 25
22.
fixup protocol sqlnet 1521
23.
fixup protocol tftp 69
24.
names
25.
name 10.0.2.1 EXSERVER
26.
name 10.0.2.201 DNSERVER
27.
name 10.0.1.190 BBWS0001
28.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq www log 7 
29.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq https log 7 
30.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ftp-data log 7 
31.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ftp log 7 
32.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 any eq ssh log 7 
33.
access-list inside-acl permit udp 192.168.1.0 255.255.255.0 host ED-DC-01 log 7 
34.
access-list inside-acl permit tcp 192.168.1.0 255.255.255.0 host EDPGFS01 log 7 
35.
access-list inside-acl permit tcp any any log 7 
36.
access-list inside-acl permit udp any any log 7 
37.
access-list inside-acl permit icmp any any log 7 
38.
access-list inside-acl permit ip any any log 7 
39.
access-list outside-acl permit icmp any any 
40.
access-list outside-acl permit ip any 192.168.7.0 255.255.255.0 
41.
access-list outside-acl permit udp any 192.168.7.0 255.255.255.0 
42.
access-list outside-acl permit tcp any 192.168.7.0 255.255.255.0 
43.
pager lines 24
44.
logging on
45.
logging timestamp
46.
logging trap debugging
47.
logging history warnings
48.
logging facility 23
49.
logging host outside 10.0.1.190
50.
icmp deny any outside
51.
icmp permit any outside
52.
mtu outside 1500
53.
mtu inside 1500
54.
ip address outside 10.0.2.251 255.255.0.0
55.
ip address inside 192.168.1.245 255.255.255.0
56.
ip audit info action alarm
57.
ip audit attack action alarm drop
58.
pdm logging informational 100
59.
pdm history enable
60.
arp timeout 14400
61.
global (outside) 1 interface
62.
nat (inside) 1 192.168.1.0 255.255.255.0 dns 0 0
63.
static (inside,outside) interface 192.168.1.100 netmask 255.255.255.255 0 0 
64.
access-group outside-acl in interface outside
65.
access-group inside-acl in interface inside
66.
route outside 0.0.0.0 0.0.0.0 DNSERVER 1
67.
timeout xlate 0:05:00
68.
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
69.
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
70.
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
71.
timeout uauth 0:05:00 absolute
72.
aaa-server TACACS+ protocol tacacs+ 
73.
aaa-server TACACS+ max-failed-attempts 3 
74.
aaa-server TACACS+ deadtime 10 
75.
aaa-server RADIUS protocol radius 
76.
aaa-server RADIUS max-failed-attempts 3 
77.
aaa-server RADIUS deadtime 10 
78.
aaa-server LOCAL protocol local 
79.
http server enable
80.
http 192.168.1.0 255.255.255.0 inside
81.
no snmp-server location
82.
no snmp-server contact
83.
snmp-server community public
84.
no snmp-server enable traps
85.
floodguard enable
86.
telnet timeout 5
87.
ssh timeout 5
88.
console timeout 0
89.
terminal width 80
Zurzeit kann ich von der Station 192.168.1.100 über die PIX501 im Internet surfen und auf das Netzwerk 10.0.0.0/16 zugreifen. Von der Station 10.0.1.190 besteht zurzeit kein Zugriff auf die Station 192.168.1.100.

Ändere ist die Static-Anweisung wie folgt ab

01.
static (inside,outside) 192.168.1.100 192.168.1.100 netmask 255.255.255.255 0 0 
kann ich den gewünschten Zugriff von 10.0.1.190 auf 192.168.1.100 ausführen, habe aber an der Station 192.168.1.100 keinen Zugriff auf das Internet.

Habe ich die Möglichkeit die beide Anforderungen mit der PIX 501 unter einen Hut zu bringen?
1. Zugriff von 10.0.1.190 (outside) auf 192.168.1.100 (inside) und
2. Zugriff von 192.168.1.100 (inside) auf Internet via (outside)

Vielen Dank für Eure Bemühungen

Viele Grüße

Dieter
Bitte warten ..
Mitglied: aqui
24.09.2007 um 19:56 Uhr
Du willst ja nicht NAT machen ins inside Netz. Es reicht wenn du einfach die out ACL öffnest und dort den Host 192.168.1.100 erlaubst von 10.0.1.190 mit IP oder eingeschränkt auf z.B. TCP 22 wenn du nur SSH machen willst (23 nur Telnet).
Bitte warten ..
Mitglied: Dkuehlborn
24.09.2007 um 22:24 Uhr
Hallo aqui,

danke für Deine Antwort.

In meiner Konfig ist ein Tippfehler.
01.
access-list outside-acl permit ip any 192.168.7.0 255.255.255.0 
02.
access-list outside-acl permit udp any 192.168.7.0 255.255.255.0 
03.
access-list outside-acl permit tcp any 192.168.7.0 255.255.255.0 
Die korrekte Outside-ACL ist.
01.
access-list outside-acl permit ip any 192.168.1.0 255.255.255.0 
02.
access-list outside-acl permit udp any 192.168.1.0 255.255.255.0 
03.
access-list outside-acl permit tcp any 192.168.1.0 255.255.255.0 
Wenn ich dich richtig verstanden habe, sollte ich zusätzlich die folgende ACL eintragen und das NAT in der Konfig drinnlassen (für Zugriff auf Internet)

01.
access-list outside-acl permit ip 192.168.1.100 255.255.255.0 10.0.1.190 255.255.255.0
Ich habe mir schon überlegt, ob mein Szenario hier besser mit einer DMZ einzurichten ist.

Inside (192.168.1.x)
DMZ (10.0.1.x)
Outside (Internet mit NAT)

Was denkst Du darüber.

Viele Grüße

Dieter
Bitte warten ..
Mitglied: aqui
26.09.2007 um 17:57 Uhr
Mmmmmh, das ist Ansichtssache zumal eine richtige DMZ schwer ist mit ner Pix, denn die hat ja nur 2 Ports du brauchst dann aber 3 Ports oder löst es mit der DMZ des kleinen Mannes
http://www.heise.de/netze/artikel/78397
Bitte warten ..
Ähnliche Inhalte
Firewall

Cisco Pix 501 - Fehler Unable to launch device manager !!?

Frage von babyloniaFirewall7 Kommentare

Hi, Cisco Pix 501 Version 6.3(5) Ich habe den PIX Device Manager pdm304.bin installiert. Dann habe ich versucht den ...

Router & Routing

Keine PDM-Konfiguration meiner guten alten pix 501

Frage von rabo001Router & Routing1 Kommentar

Hallo, ich weis es ist ein Uraltteil aber ich möchte sie weiter nutzen meine pix501. Nur jetzt gibt es ...

Router & Routing

Kein Zugriff auf Cisco Switch SG300 über OpenVPN

gelöst Frage von miuliuRouter & Routing4 Kommentare

Hey, ich benutze pfsense als Firewall und OpenVPN Server zum Zugriff auf das Heimnetzwerk. Folgende Netzwerke und Regeln sind ...

Router & Routing

Cisco 1812 Vlan1 kein Zugriff ausserhalb des Routers

gelöst Frage von ozerRouter & Routing6 Kommentare

Hallo zusammen, ich habe ein kleines Problem. Ich nutze ein Cisco 1812 version 15.1 und habe aktuell ein funktionierendes ...

Neue Wissensbeiträge
Windows Update
Sicherheitsupdate für SQL Server 2014 SP3
Information von sabines vor 8 StundenWindows Update

Für den SQL Server 2014 existiert ein Sicherheitsupdate. Laut KB Artikel wird es als CU3 angezeigt: Server 2014 SP3 ...

Backup

Veeam Agent für MS Windows - neue Version verfügbar (bedingt jedoch offenbar .NET Framework 4.6)

Information von VGem-e vor 1 TagBackup

Moin Kollegen, einer unserer Server zeigte grad an, dass für o.g. Software ein Update verfügbar ist. Ob ein evtl. ...

Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 3 TagenPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 steht in Englisch bereit mit Unterstützung für Windows 10 1903 (May Update)

Information von VGem-e vor 3 TagenSicherheits-Tools1 Kommentar

Moin Kollegen, Dann kommt wohl demnächst auch die deutschsprachige/europäische Version zur Auslieferung. Gruß VGem-e

Heiß diskutierte Inhalte
Windows Server
Windows Server 2016 einrichten
Frage von borjiaWindows Server34 Kommentare

Ich würde gerne einen Server einrichten, erstmal nur mit DNS und AD. Habe mich die letzten Wochen durch diverse ...

Google Android
Anbieter für Diensthandys
Frage von Pat.batGoogle Android25 Kommentare

Hallo zusammen, ich bin seit einiger Zeit zuständig für die Diensthandys bei uns in der Behörde. Eine Management Software ...

Exchange Server
Vorgehen um von Tobit auf Exchange zu wechseln
gelöst Frage von Martin1987Exchange Server17 Kommentare

Guten Abend Ich habe den Auftrag erhalten, unser Mail von David zu Outlook zu wechseln. Wie muss ich da ...

Microsoft Office
Office 365 eMail via Website verschicken
Frage von BiBeSoMicrosoft Office16 Kommentare

Hallo, kann man im Office 365 eMails anlegen welche zum versenden (smtp) für die Website funktionieren ? Muss man ...