10
Cisco Pix Firewall 501- Wie schalte ich Ports frei?
Hallo zusammen,
ich bin ein blutiger Anfänger und
in den Threads, die mir die SuFu liefert, finde ich nur Expertengefachsimpel xD deswegen
muss dieser Thread sein:
Ich möchte bei dem Spiel Warcraft 3 eigene Server hosten können, und mir wurde gesagt, ich müsse dazu den Port 6112 freischalten. Zur Verfügung steht mir dazu eine Telnet-Verbindung zu unserer Pix-Firewall 501 .
Was ist also zu tun? Und welche eventuellen negativen Auswirkungen könnte das freischalten dieses Ports haben?
viele Grüße
cheers
kalamazoo
ich bin ein blutiger Anfänger und
in den Threads, die mir die SuFu liefert, finde ich nur Expertengefachsimpel xD deswegen
muss dieser Thread sein:
Ich möchte bei dem Spiel Warcraft 3 eigene Server hosten können, und mir wurde gesagt, ich müsse dazu den Port 6112 freischalten. Zur Verfügung steht mir dazu eine Telnet-Verbindung zu unserer Pix-Firewall 501 .
Was ist also zu tun? Und welche eventuellen negativen Auswirkungen könnte das freischalten dieses Ports haben?
viele Grüße
cheers
kalamazoo
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 84627
Url: https://administrator.de/forum/cisco-pix-firewall-501-wie-schalte-ich-ports-frei-84627.html
Ausgedruckt am: 27.04.2025 um 13:04 Uhr
10 Kommentare
Neuester Kommentar
Hi kalamazoo,
eigentlich ist das Ganze sehr easy. Verbinde ich auf die PIX per Telnet oder SSH und füge folgenden Config ein:
Kannst du einfach kopieren und im config - Modus einfügen. Der Rest macht er von alleine. Wichtig ist, dass du vorher die entsprecheden Stellen durch die Interfacenamen bzw. IP-Adressen ersetzt.
Grüße
Dani
eigentlich ist das Ganze sehr easy. Verbinde ich auf die PIX per Telnet oder SSH und füge folgenden Config ein:
conf t
interface <dein wan interface>
ip nat outside
exit
!
interface <dein lan interface richtung server>
ip nat inside
exit
!
ip nat inside source static tcp <server ip adresse> 6112 interface <wan interface> 6112
!Grüße
Dani
Hi Dani,
danke erstmal für die schnelle Antwort :>
gibt nur ein kleines problem, ich kenne mein wan-interface gar nicht o0 woher bekomme ich den wert, der da eingetragen werden muss? mein lan interface = die ip-addresse meines PCs? die server ip addresse ist die von der pix, oder?
und das alles muss auf einmal in die konsole eingetragen werden?
Grüße
danke erstmal für die schnelle Antwort :>
gibt nur ein kleines problem, ich kenne mein wan-interface gar nicht o0 woher bekomme ich den wert, der da eingetragen werden muss? mein lan interface = die ip-addresse meines PCs? die server ip addresse ist die von der pix, oder?
und das alles muss auf einmal in die konsole eingetragen werden?
Grüße
Moin,
naja..du hast doch 2 Interface konfiguriert. Der Port an dem die Standleitung oder DSL dran hängt ist der WAN-Port (musst du über Konsole auslesen) und der andere Port ist dann der LAN Port. Du solltest vllt. auch einfach "Descriptions" einführen - das macht es oft einfacher - auch für die Zukunft.
Kann es sein, dass du die PIX mit der Oberfläche konfiguriert hast?! Ist ja ganz nett, aber die feinen Dinge kannst du eben nur auf der COnsole machen...also üben, üben, üben.
Grüße
Dani
naja..du hast doch 2 Interface konfiguriert. Der Port an dem die Standleitung oder DSL dran hängt ist der WAN-Port (musst du über Konsole auslesen) und der andere Port ist dann der LAN Port. Du solltest vllt. auch einfach "Descriptions" einführen - das macht es oft einfacher - auch für die Zukunft.
Kann es sein, dass du die PIX mit der Oberfläche konfiguriert hast?! Ist ja ganz nett, aber die feinen Dinge kannst du eben nur auf der COnsole machen...also üben, üben, üben.
Grüße
Dani
Moinsn,
*gg* also ich selbst habe daran gar nix konfiguriert, das war ein Kumpel von mir, der davon ein wenig mehr ahnung hat. Der ist allerdings grade im Skiurlaub und kurioserweise auch nicht zu erreichen o0
Deswegen ist das nun tatsächltlich das erste mal, dass ich mich an das Teil heranwage.
Sag mir am besten einfach genau, was ich eingeben muss, um den wan-port abzulesen(in welcher form wird der denn angegeben? als ip-addresse?) und wo ich ihn ablesen kann,
und wo ich die anderen beiden infos herbekomme ;)
der Lan-Port ist dann also die schnittstelle wo mein PC dran hängt, richtig? also nicht die IP-addresse von meinem pc, sondern nur die stelle wo er dran hängt? und wo kann ich deren Addresse auslesen?
*verwirrt*
Oli
*gg* also ich selbst habe daran gar nix konfiguriert, das war ein Kumpel von mir, der davon ein wenig mehr ahnung hat. Der ist allerdings grade im Skiurlaub und kurioserweise auch nicht zu erreichen o0
Deswegen ist das nun tatsächltlich das erste mal, dass ich mich an das Teil heranwage.
Sag mir am besten einfach genau, was ich eingeben muss, um den wan-port abzulesen(in welcher form wird der denn angegeben? als ip-addresse?) und wo ich ihn ablesen kann,
und wo ich die anderen beiden infos herbekomme ;)
der Lan-Port ist dann also die schnittstelle wo mein PC dran hängt, richtig? also nicht die IP-addresse von meinem pc, sondern nur die stelle wo er dran hängt? und wo kann ich deren Addresse auslesen?
*verwirrt*
Oli
Guten Morgen Oli,
also geh in den "en" Modus und geb mal sh ip int brief ein. Somit müsstest du alle Interface sehen. Eines müsste "Dialer" heißen. Das ist dein WAN-Interface. Nun gibt es 2 Möglichkeiten:
Hängen alle Rechner direkt an der PIX oder erst ein Switch und dort dann alle Rechner?
Ansonsten geb mal "sh int desc" ein. Vllt. hat er ein Interfacebeschreibung hinterlegt (macht man heute normal). *g*
Grüße
Dani
also geh in den "en" Modus und geb mal sh ip int brief ein. Somit müsstest du alle Interface sehen. Eines müsste "Dialer" heißen. Das ist dein WAN-Interface. Nun gibt es 2 Möglichkeiten:
Hängen alle Rechner direkt an der PIX oder erst ein Switch und dort dann alle Rechner?
Ansonsten geb mal "sh int desc" ein. Vllt. hat er ein Interfacebeschreibung hinterlegt (macht man heute normal). *g*
der Lan-Port ist dann also die schnittstelle wo mein PC dran hängt, richtig?
Genau, einfach der Port auf dem der Rechner / Server angeschlossen ist, auf den der Port geforwardert werden soll.Grüße
Dani
Moinsen,
wenn ich die beiden Befehle eingebe, sieht das so aus:
WohnzimmerPIX(config)# sh ip int brief
Invalid keyword: "int"
Usage: [no] ip address <if_name> <ip_address> [<mask>]
[no] ip address <if_name> <ip_address> <mask> pppoe [setroute]
[no] ip address <if_name> dhcp [setroute] [retry <retry_cnt>]
[no] ip address <if_name> pppoe [setroute]
ip local pool <poolname> <ip1>[-<ip2>]
ip verify reverse-path interface <if_name>
ip audit {info|attack} action [alarm] [drop] [reset]
ip audit name <audit_name> {info|attack} [action [alarm] [drop] [reset]]
ip audit interface <if_name> <audit_name>
ip audit signature <sig_number> disable
show|clear ip audit count [global] [interface <interface>]
show ip [address [<if_name> [pppoe|dhcp [lease|server]]]]
WohnzimmerPIX(config)# sh int desc
Usage: interface <hardware_id> [<hw_speed> [shutdown]]
[no] interface <hardware_id> <vlan_id> [logical|physical] [shutdown]
interface <hardware_id> change-vlan <old_vlan_id> <new_vlan_id>
show interface
WohnzimmerPIX(config)#
bei uns hängen alle rechner direkt an der pix...
"der Lan-Port ist dann also die schnittstelle wo mein PC dran hängt, richtig?
Genau, einfach der Port auf dem der Rechner / Server angeschlossen ist, auf den der Port geforwardert werden soll."
okay, und wo kann ich auslesen wie dieser port bezeichnet wird?
danke für Deine Geduld ;)
wenn ich die beiden Befehle eingebe, sieht das so aus:
WohnzimmerPIX(config)# sh ip int brief
Invalid keyword: "int"
Usage: [no] ip address <if_name> <ip_address> [<mask>]
[no] ip address <if_name> <ip_address> <mask> pppoe [setroute]
[no] ip address <if_name> dhcp [setroute] [retry <retry_cnt>]
[no] ip address <if_name> pppoe [setroute]
ip local pool <poolname> <ip1>[-<ip2>]
ip verify reverse-path interface <if_name>
ip audit {info|attack} action [alarm] [drop] [reset]
ip audit name <audit_name> {info|attack} [action [alarm] [drop] [reset]]
ip audit interface <if_name> <audit_name>
ip audit signature <sig_number> disable
show|clear ip audit count [global] [interface <interface>]
show ip [address [<if_name> [pppoe|dhcp [lease|server]]]]
WohnzimmerPIX(config)# sh int desc
Usage: interface <hardware_id> [<hw_speed> [shutdown]]
[no] interface <hardware_id> <vlan_id> [logical|physical] [shutdown]
interface <hardware_id> change-vlan <old_vlan_id> <new_vlan_id>
show interface
WohnzimmerPIX(config)#
bei uns hängen alle rechner direkt an der pix...
"der Lan-Port ist dann also die schnittstelle wo mein PC dran hängt, richtig?
Genau, einfach der Port auf dem der Rechner / Server angeschlossen ist, auf den der Port geforwardert werden soll."
okay, und wo kann ich auslesen wie dieser port bezeichnet wird?
danke für Deine Geduld ;)
Ich habe nichts von "config" - Modus gesagt! => WohnzimmerPIX(config)#
Grüße
Dani
"der Lan-Port ist dann also die schnittstelle wo mein PC dran hängt, richtig?
Richtig...okay, und wo kann ich auslesen wie dieser port bezeichnet wird?
Ka....es werden die Ports normal durchnummiert. z.B. FastEthernet0/1 oder FastEthernet1...Grüße
Dani
WohnzimmerPIX# sh ip int brief
Invalid keyword: "int"
Usage: [no] ip address <if_name> <ip_address> [<mask>]
[no] ip address <if_name> <ip_address> <mask> pppoe [setroute]
[no] ip address <if_name> dhcp [setroute] [retry <retry_cnt>]
[no] ip address <if_name> pppoe [setroute]
ip local pool <poolname> <ip1>[-<ip2>]
ip verify reverse-path interface <if_name>
ip audit {info|attack} action [alarm] [drop] [reset]
ip audit name <audit_name> {info|attack} [action [alarm] [drop] [reset]]
ip audit interface <if_name> <audit_name>
ip audit signature <sig_number> disable
show|clear ip audit count [global] [interface <interface>]
show ip [address [<if_name> [pppoe|dhcp [lease|server]]]]
WohnzimmerPIX# sh ip brief
Invalid keyword: "brief"
Usage: [no] ip address <if_name> <ip_address> [<mask>]
[no] ip address <if_name> <ip_address> <mask> pppoe [setroute]
[no] ip address <if_name> dhcp [setroute] [retry <retry_cnt>]
[no] ip address <if_name> pppoe [setroute]
ip local pool <poolname> <ip1>[-<ip2>]
ip verify reverse-path interface <if_name>
ip audit {info|attack} action [alarm] [drop] [reset]
ip audit name <audit_name> {info|attack} [action [alarm] [drop] [reset]]
ip audit interface <if_name> <audit_name>
ip audit signature <sig_number> disable
show|clear ip audit count [global] [interface <interface>]
show ip [address [<if_name> [pppoe|dhcp [lease|server]]]]
WohnzimmerPIX# sh ip
System IP Addresses:
ip address outside 84.142.237.71 255.255.255.255
ip address inside 10.10.10.1 255.255.255.0
Current IP Addresses:
ip address outside 84.142.237.71 255.255.255.255
ip address inside 10.10.10.1 255.255.255.0
WohnzimmerPIX# sh int desc
Usage: interface <hardware_id> [<hw_speed> [shutdown]]
[no] interface <hardware_id> <vlan_id> [logical|physical] [shutdown]
interface <hardware_id> change-vlan <old_vlan_id> <new_vlan_id>
show interfacevllt hilft es dir wenn ich dir mal meine komplette konfig zeige? habe in anderen foren doch noch ein bisschen was gefunden, und in die konfig reingepackt.
vielleicht kannst du mir dann einfach sagen, was noch fehlt?
//PIX Version 6.3(3)
interface ethernet0 10basetp-se
mtu outside
interface ethernet1 100full
mtu in
nameif ethernet0 outside security0
ip address out
nameif ethernet1 inside security100stype_obj_grp_id
enable password xxxx encrypted
ip address inside 10.10.10.1 255.255.
passwd xxxxx encrypted
telnet 10.10.10.2 2
hostname WohnzimmerPIX
domain-name ciscopix.com name MYAUDIT attack act
fixup protocol dns maximum-length 512255 insidepr
fixup protocol ftp 21
fixup protocol h323 h225 1720YAUDITinfo info action alarmt
fixup protocol h323 ras 1718-1719
fixup protocol http 80
pdm location 10.
fixup protocol ils 389 inside
fixup protocol rsh 514
Wohnzimm
fixup protocol rtsp 55n
access-list inbound permit tcp any any eq 6112
arp timeout 144000 sip 0:30:00
access-list inbound permit udp any any eq 6112 1 interface remark <text>
pager lines 24
vpdn g
logging timestamp
nat (inside) 1 0
logging monitor debugging
logging buffered debugging,outside) tcp interface ww
logging trap notifications5.255.255.255**Jao/r06XEQM
logging history debugginge multica
logging host inside 10.10.10.2 6/1468
mtu outside 1500
mtu inside 1500dhcp
0 0re
ip address outside pppoe setrouteol local255.255 insidece <if_na
ip address inside 10.10.10
ip audit info action alarmerver location023069
ip audit attack action alarmnmp-server contact[netmask <
pdm location 10.10.10.3 255.255.255.255 inside
snmp-server community publicudit name
pdm location 10.10.10.4 255.255.255.255 inside
snmp-server enable tr
pdm location 10.10.10.5 255.255.255.255 inside
floodguard enableerface outsi
pdm logging informational 10010.10.10.2 255.255.255.255 in
pdm history enable]interface outside
arp timeout 14400
global (outside) 1 interface
teln
nat (inside) 1 0.0.0.0 0.0.0.0 0 0enzimmerPIX(config)# static (
0 03 25
static (inside,outside) tcp interface 6112 10.10.10.1 6112 netmask 255.255.255.2
pdm location 10
ssh 10.10.10.2 255.255.255.wr
55 0 0
static (inside,outside) udp interface 6112 10.10.10.1 6112 netmask 255.255.255.2EQMNWGt encryptedssword fJao/r06XEQM
55 0 0
access-group inbound in interface outside
0 0encr
static (
timeout xlate 0:05:00swd f
vpdn gr
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
hostname WohnzimmerPIX
dhcpd auto_config outs
no snmp-server contact
snmp-server community public
dhcpd enable insideimeou
telnet 10.10.10.3 255.255.255.255 inside
telnet 10.10.10.5 255.255.255.255 inside
telnet timeout 10
ssh 10.10.10.5 255.255.255.255 inside
ssh 10.10.10.3 255.255.255.255 inside
ssh 10.10.10.2 255.255.255.255 inside
ssh 10.10.10.8 255.255.255.255 inside
ssh 10.10.10.9 255.255.255.255 inside
ssh timeout 30
console timeout 0
vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname 0015850886405502306970370001@t-online.de
vpdn group pppoe_group ppp authentication pap
vpdn username 0015850886405502306970370001@t-online.de password *********
dhcpd address 10.10.10.8-10.10.10.10 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
terminal width 100
Cryptochecksum:cae273d845e0a61518200ff4cbc803f4
So...sieht ja nicht so schlecht aus - Ethernet0 und Ethernet1. Nun musst du am Router ablesen, wo du was gesteckt hast und meinen Schnipsel ändern - einspielen- gut ist.
Grüße
Dani
P.S. Du solltest dich schon ein wenig mit der Materie beschäftigen. Sonst wird das nichts...ich hab nicht vor in 2 Wochen nochmal dir alle vorzukauen!
Grüße
Dani
P.S. Du solltest dich schon ein wenig mit der Materie beschäftigen. Sonst wird das nichts...ich hab nicht vor in 2 Wochen nochmal dir alle vorzukauen!
moinsen!
ich hab endlich rausgefunden, worans lag, völlig simpel:
ich hatte an meinem pc keine feste ip adresse vergeben, dh. der port war für eine ip addresse freigegeben, die gar nicht existierte : >
danke für deine hilfe und vor allem deine geduld xD
grüße
reinhaun!
ich hab endlich rausgefunden, worans lag, völlig simpel:
ich hatte an meinem pc keine feste ip adresse vergeben, dh. der port war für eine ip addresse freigegeben, die gar nicht existierte : >
danke für deine hilfe und vor allem deine geduld xD
grüße
reinhaun!
