[cisco]statics werken niet op PIX - 6.3(4) - Serversoftware en clouddiensten

maandag 10 oktober 2005 15:49

Acties:

Topicstarter

Wij hebben hier een PIX met 6.3(4) waarop we proberen een static op te zettem van inside (10.247.10.0/24) naar outside (10.247.3.0/24). Om dit te bewerkstelligen gebruik ik het volgende commando:

static (inside, outside) 10.247.3.6 10.247.10.1

Vroegah, toen PIX nog PIX was (

) werkte dit commando gewoon, echter op de 1 of andere vage reden kom ik niet door deze static heen naar het 3 netwerk.

Even wat specs:

pixfirewall(config)# sh vers

Cisco PIX Firewall Version 6.3(4)
Cisco PIX Device Manager Version 3.0(2)

Compiled on Fri 02-Jul-04 00:07 by morlee

pixfirewall up 1 hour 39 mins

Hardware:   PIX-506E, 32 MB RAM, CPU Pentium II 300 MHz
Flash E28F640J3 @ 0x300, 8MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB

0: ethernet0: address is 0014.f2d7.469e, irq 10
1: ethernet1: address is 0014.f2d7.469f, irq 11
Licensed Features:
Failover:                    Disabled
VPN-DES:                     Enabled
VPN-3DES-AES:                Enabled
Maximum Physical Interfaces: 2
Maximum Interfaces:          2
Cut-through Proxy:           Enabled
Guards:                      Enabled
URL-filtering:               Enabled
Inside Hosts:                Unlimited
Throughput:                  Unlimited
IKE peers:                   Unlimited

This PIX has a Restricted (R) license.

Serial Number: 809272742 (0x303c85a6)
Configuration last modified by enable_15 at 06:28:36.164 UTC Mon Oct 10 2005

pixfirewall(config)# sh conf
: Saved
: Written by enable_15 at 06:26:16.542 UTC Mon Oct 10 2005
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password XXXXXXXXXXXXXXXXXXX encrypted
passwd XXXXXXXXXXXXXXXXXXXXXx encrypted
hostname pixfirewall
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 10.247.3.6 255.255.255.0
ip address inside 10.247.10.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80

Weet iemand hier wat er veranderd is in PIX6.3(4) t.o.v. (2)? En kan diegene me ook vertellen welk commando nu doet wat ik wil?

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

woensdag 12 oktober 2005 09:44

Acties:

Zwerver

Topicstarter

*kick* Zitten hier geen mensen met Cisco-ervaring of is het probleem zo lastig

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

donderdag 13 oktober 2005 09:18

Acties:

Verwijderd

6.3.4 is hetzelfde qua static net als andere 6.3.x versies.
Maar mag ik vragen wat precies de bedoeling is?
Zoals ik het lees wil je het outside adres NATten naar het inside interface adres.

donderdag 13 oktober 2005 10:13

Acties:

Zwerver

Topicstarter

Verwijderd schreef op donderdag 13 oktober 2005 @ 09:18:
6.3.4 is hetzelfde qua static net als andere 6.3.x versies.
Maar mag ik vragen wat precies de bedoeling is?
Zoals ik het lees wil je het outside adres NATten naar het inside interface adres.

Ik heb het net gisteravond aan de praat gekregen met een iets andere opstelling:

Insecure X.X.10.0/24


MS1: X.X.10.111
outside
------------------
PIX
------------------
Inside
S1: X.X.3.111

Secure X.X.3.0/24

Etc. Dus gewoon een static van het 10 naar het 3 segment. Enige nadeel wat ik nu heb is dat de dns-server voor zowel het 3 als het 10 segment gelijk is. Nu geeft de dns 3 adressen uit en ik ben nog aan het zoeken hoe ik dat kan laten translaten door de pix naar het 10 segment. Any help is welcome off course

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

donderdag 13 oktober 2005 16:36

Acties:

Verwijderd

Move NT > PNS

donderdag 13 oktober 2005 17:17

Acties:

relaxteb

Wat is nu precies je bedoeling ?
En hoe kan je dns server ip adressen uitgeven ?
Meer info = meer help

vrijdag 14 oktober 2005 21:49

Acties:

_Arthur

blub

De statics die ik in een 515 met 6.2(2) gebruikte:

static (inside,outside) 194.109.6.66 172.21.32.1 netmask 255.255.255.255 0 0

Dunno of daar dingen in zijn verandert met een 6.3.(4).

[ Voor 19% gewijzigd door _Arthur op 14-10-2005 21:49 ]

maandag 17 oktober 2005 16:44

Acties:

relaxteb

Wat voor een fout krijg je dan ?
Syntax fout ? Of doet ie het gewoon niet ?
Helpt een clear xlate niet ? Of een reload ?