Toon posts:

Cisco PIX 515 en website hosting

Pagina: 1
Acties:
  • 239 views sinds 30-01-2008
  • Reageer

vrijdag 15 juni 2007 09:15

Acties:
  • Biebel
  • Registratie: Mei 2000
  • Laatst online: 11-12-2025

Biebel

BY IKKE

Topicstarter
Hallo..
Ik heb al een beetje rondgezocht, maar kan niet echt een éénduidig antwoord vinden op GOT en Google..

Dus bij deze dan maar de vraag.
Ik heb een Cisco PIX 515 firewall, welke al het http en https verkeer door moet sturen naar mijn ISA server, waarna deze het dan weer bij de juiste webserver bezorgd. (waar de website op staat)
Intern kan ik gewoon op de website komen, dus ISA is goed geconfigureerd.
Nu moet de PIX nog.

Nou heb ik de volgende regel toegevoegd, waar 172.16.104.5 de ISA is.

access-list acl-out line 4 permit tcp any eq 80 host 172.16.104.5
access-list acl-out line 5 permit tcp any eq 443 host 172.16.104.5
access-group acl-out in interface outside

Vanaf buiten kan ik nu nog steeds niet op mijn website komen. de pix stopt dus gewoon het verkeer nog.

de vragen die ik heb zijn: zijn deze regels goed, en hoe kan ik kijken op de pix welke requests ik krijg op mijn outside interface??
Bedankt alvast!

Biebel is not just a nick, It's my alter ego...

vrijdag 15 juni 2007 14:42

Acties:
  • iworx
  • Registratie: Juli 2001
  • Laatst online: 16-03 07:56

iworx

En de gateway van de isa verwijst ook gewoon naar de pix?

Vertel eens wat meer over de inkomende lijnen -- hoe / waar zit de pix in het netwerk. Loopt er nog andere traffiek door de pix / isa?

Waarom 2 firewalls achter mekaar? Waarom niet rechtstreeks van pix naar webserver?

[ Voor 66% gewijzigd door iworx op 15-06-2007 14:43 ]

This space intentionally left blank.

vrijdag 15 juni 2007 14:52

Acties:
  • paella
  • Registratie: Juni 2001
  • Laatst online: 13:35

paella

Volghens mij mis je nog wat NAT/static statements.

No production networks were harmed during this posting

zaterdag 16 juni 2007 00:33

Acties:
  • Bas_je
  • Registratie: Augustus 2003
  • Laatst online: 03-03-2025

Bas_je

Je mist inderdaad wat static listings, deze 2:
static (inside,outside) tcp interface 80 172.16.104.5 80 netmask 255.255.255.255 0 0
static (inside,outside) tcp interface 443 172.16.104.5 443 netmask 255.255.255.255 0 0

Maar ik weet niet hoe jouw access-listen staan ingesteld, maar zo kunnen ze:
access-list outside_access_in permit tcp any any eq 80
access-list outside_access_in permit tcp any any eq 443

waarbij outside_access_in de naam voor de juiste access-list dan is.

while ( !$succeed ) { $try++ }

maandag 18 juni 2007 17:07

Acties:
  • Biebel
  • Registratie: Mei 2000
  • Laatst online: 11-12-2025

Biebel

BY IKKE

Topicstarter
Even ter verdelijking..

Internet
|
PIX
| DMZ
ISA
|
NETWERK

Http en https verkeer vanaf het interne netwerk naar buiten gaat prima, maar ik wil dus het verkeer van buiten (over poort 80 en poort 443) door de PIX naar de ISA leiden, welke in de DMZ staat. (172.16.104.5)

Wat er nu gebeurt is dat ik wel browsen naar https, maar dan krijg ik een certificaat van de PIX, en ook een inlog van de pix.
Hij moet dit verkeer eigenlijk overlaten aan de ISA..

Hoop dat dit duidelijk is.
Waarom 2 firewalls achter mekaar? Waarom niet rechtstreeks van pix naar webserver?
Omdat we een DMZ hebben moeten creeren, company policy.
Maar in wezen moet dit niet uitmaken, de ISA server weet wat hij aanmoet met het verkeer wat hij krijgt van de PIX.

[ Voor 21% gewijzigd door Biebel op 18-06-2007 17:12 ]

Biebel is not just a nick, It's my alter ego...

maandag 18 juni 2007 17:19

Acties:
  • Biebel
  • Registratie: Mei 2000
  • Laatst online: 11-12-2025

Biebel

BY IKKE

Topicstarter
Bas_je schreef op zaterdag 16 juni 2007 @ 00:33:
Je mist inderdaad wat static listings, deze 2:
static (inside,outside) tcp interface 80 172.16.104.5 80 netmask 255.255.255.255 0 0
static (inside,outside) tcp interface 443 172.16.104.5 443 netmask 255.255.255.255 0 0

Maar ik weet niet hoe jouw access-listen staan ingesteld, maar zo kunnen ze:
access-list outside_access_in permit tcp any any eq 80
access-list outside_access_in permit tcp any any eq 443

waarbij outside_access_in de naam voor de juiste access-list dan is.
Zijn dit geen statics van binnen naar buiten?
zouden mijn statics niet moeten zijn: (123.123.123.123 = fictief outside adres, ISA01DMZ=172.16.104.5)
static (DMZ1,outside) tcp 123.123.123.123 www ISA01DMZ www netmask 255.255.255.255 0 0
static (DMZ1,outside) tcp 123.123.123.123 https ISA01DMZ https netmask 255.255.255.255 0 0

(deze gok ik.. tell me if I'm wrong)

Biebel is not just a nick, It's my alter ego...

maandag 18 juni 2007 17:30

Acties:
  • paella
  • Registratie: Juni 2001
  • Laatst online: 13:35

paella

Die twee zijn inderdaad "omgekeerd" volgens mij zeg maar...

No production networks were harmed during this posting

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq