Pix-Befehl zum Port freischalten???
Hallo liebes Forum,
ist hier jemand der sich mit der PIX-Firewall und der Firmaware 6 dazu auskennt? Möchte gerne für einen Server hinter der Firewall ne SSH-Verbindung von aussen zulassen. Da ich mich mit der Doku der Pix noch nicht so ausführlich beschäftigt habe, kann mir jemand evtl. die Telnet-Befehle dafür kurz auflisten? IP-Adressen und Port (muss nur 22 für SSH sein, oder?) ergänze ich dann.
Ich bin schon jetzt sehr dankbar für die Unterstürzung,
Gerrie
ist hier jemand der sich mit der PIX-Firewall und der Firmaware 6 dazu auskennt? Möchte gerne für einen Server hinter der Firewall ne SSH-Verbindung von aussen zulassen. Da ich mich mit der Doku der Pix noch nicht so ausführlich beschäftigt habe, kann mir jemand evtl. die Telnet-Befehle dafür kurz auflisten? IP-Adressen und Port (muss nur 22 für SSH sein, oder?) ergänze ich dann.
Ich bin schon jetzt sehr dankbar für die Unterstürzung,
Gerrie
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 22902
Url: https://administrator.de/forum/pix-befehl-zum-port-freischalten-22902.html
Ausgedruckt am: 23.12.2024 um 12:12 Uhr
1 Kommentar
Hallo Nadine,
das kannst du im CLI mit den Befehlen static, access-list und access-group machen.
access-list acl_name permit tcp any eq 22 host aaa.bbb.ccc.ddd eq 22
static (inside,outside) tcp interface 22 aaa.bbb.ccc.ddd 22 netmask 255.255.255.255 0 0
access-group acl_name in interface outside
Die fettgedruckten Teile musst du entspr. anpassen.
a-d enspricht der IP des Zielhosts am Inside-Interface
Die genaue Beschreibung findest du in der Cisco PIX Firewall Command Reference auf den Seiten 3-22, 3-25 sowie 8-69.
Der Cisco PIX Firewall and VPN Confuiguration Guide ist auch empfehlenswert.
Das ganze geht natürlich auch mit dem PDM.
Sei dir auch bewusst, dass du damit die PIX für ALLE auf Port 22 für den Host aaa.bbb.ccc.ddd eingehenden Verbindungen öffnest!
Imho besser wäre, den VPN-Server zu konfigurieren und auf dem entfernten Rechner den Client zu installieren
Wenn möglich solltest du auf jeden Fall den Zugriff auf dem Outside-Interface auf bestimmte IPs einschränken (in der access-list würde dann any ersetzt durch host www.xxx.yyy.zzz)
Ich hoffe, ich habe nichts vergessen.
gemini
das kannst du im CLI mit den Befehlen static, access-list und access-group machen.
access-list acl_name permit tcp any eq 22 host aaa.bbb.ccc.ddd eq 22
static (inside,outside) tcp interface 22 aaa.bbb.ccc.ddd 22 netmask 255.255.255.255 0 0
access-group acl_name in interface outside
Die fettgedruckten Teile musst du entspr. anpassen.
a-d enspricht der IP des Zielhosts am Inside-Interface
Die genaue Beschreibung findest du in der Cisco PIX Firewall Command Reference auf den Seiten 3-22, 3-25 sowie 8-69.
Der Cisco PIX Firewall and VPN Confuiguration Guide ist auch empfehlenswert.
Das ganze geht natürlich auch mit dem PDM.
Sei dir auch bewusst, dass du damit die PIX für ALLE auf Port 22 für den Host aaa.bbb.ccc.ddd eingehenden Verbindungen öffnest!
Imho besser wäre, den VPN-Server zu konfigurieren und auf dem entfernten Rechner den Client zu installieren
Wenn möglich solltest du auf jeden Fall den Zugriff auf dem Outside-Interface auf bestimmte IPs einschränken (in der access-list würde dann any ersetzt durch host www.xxx.yyy.zzz)
Ich hoffe, ich habe nichts vergessen.
gemini