[Cisco PIX 515E] same-security-traffic commando klopt niet - Netwerken

dinsdag 12 januari 2010 10:16

Acties:

Verwijderd

Topicstarter

Op onze Cisco PIX 515E zou ik graag enkele access rules toevoegen voor http en https verkeer.
Maar wanneer ik die voor https instel krijg ik steeds de melding dat er geen communicatie mogelijk is tussen twee interfaces met dezelfde security level.

Na even op te zoeken vond ik dat ik daarvoor het volgende commando moest uitvoeren om deze communicatie mogelijk te maken.

hostname(config)# same-security-traffic permit intra-interface

of

hostname(config)# same-security-traffic permit inter-interface

Wanneer ik deze commando's uitvoer lijkt het echter alsof mijn Cisco Pix deze niet blijkt te herkennen.

dinsdag 12 januari 2010 10:27

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Welke software versie heb je draaien?

In enable modus, dat is hostname#, kun je dat zien met show version.

Vicariously I live while the whole world dies

dinsdag 12 januari 2010 10:33

Acties:

Verwijderd

Topicstarter

Cisco PIX Firewall Version 6.3(3)
Cisco PIX Device Manager Version 3.0(1)

Compiled on Wed 13-Aug-03 13:55 by morlee

IDSTFW-01 up 70 days 18 hours

Hardware: PIX-515E, 64 MB RAM, CPU Pentium II 433 MHz
Flash E28F128J3 @ 0x300, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB

Encryption hardware device : Crypto5823 (revision 0x1)
0: ethernet0: address is 0012.439b.50ab, irq 10
1: ethernet1: address is 0012.439b.50ac, irq 11
2: ethernet2: address is 000d.88ef.72c4, irq 11
3: ethernet3: address is 000d.88ef.72c5, irq 10
4: ethernet4: address is 000d.88ef.72c6, irq 9
5: ethernet5: address is 000d.88ef.72c7, irq 5
Licensed Features:
Failover: Enabled
VPN-DES: Enabled
VPN-3DES-AES: Enabled
Maximum Physical Interfaces: 6
Maximum Interfaces: 10
Cut-through Proxy: Enabled
Guards: Enabled
URL-filtering: Enabled
Inside Hosts: Unlimited
Throughput: Unlimited
IKE peers: Unlimited

This PIX has an Unrestricted (UR) license.

Serial Number: 808413087 (0x302f679f)
Running Activation Key: 0x82218193 0x30c6c69a 0x2a68d089 0x83fcf8ef
Configuration last modified by admin at 10:07:11.973 CEST Tue Jan 12 2010

dinsdag 12 januari 2010 10:37

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Die functie wordt pas ondersteund vanaf versie 7.x, dus dat wordt upgraden. Ik zie echter dat er ook maar weinig Flash geheugen in zit, dus waarschijnlijk moet je dat ook nog uitbreiden.

Is er een reden waarom die twee interfaces hetzelfde security level hebben? Kun je een beeld schetsen van je netwerk?

[ Voor 24% gewijzigd door Vicarious op 12-01-2010 10:38 ]

Vicariously I live while the whole world dies

dinsdag 12 januari 2010 10:45

Acties:

Verwijderd

Topicstarter

Het betreft hier tweemaal de 'inside' interface. Ik wil een access rule aanmaken voor een bepaalde website (http & https) zodanig dat men voor deze website niet via de proxyserver moet gaan. Voor http lukt dit, maar voor https niet.

Op een andere identieke firewall met dezelfde software versie is dit voor een voorganger wel ingesteld, dus ik neem aan dat het op één of andere manier toch mogelijk moet zijn om deze acces rule in te stellen?

[ Voor 25% gewijzigd door Verwijderd op 12-01-2010 10:52 ]

dinsdag 12 januari 2010 11:15

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Verwijderd schreef op dinsdag 12 januari 2010 @ 10:45:
Het betreft hier tweemaal de 'inside' interface. Ik wil een access rule aanmaken voor een bepaalde website (http & https) zodanig dat men voor deze website niet via de proxyserver moet gaan. Voor http lukt dit, maar voor https niet.

Op een andere identieke firewall met dezelfde software versie is dit voor een voorganger wel ingesteld, dus ik neem aan dat het op één of andere manier toch mogelijk moet zijn om deze acces rule in te stellen?

Volgens mij moet je dat in de proxy of op de client instellen, en niet op de firewall. Verkeer dat in het inside netwerk blijft komt toch helemaal niet langs de firewall? Ik snap er niks van...

Vicariously I live while the whole world dies

dinsdag 12 januari 2010 12:05

Acties:

Verwijderd

Topicstarter

Ja blijkbaar had mijn voorganger dat zo ingesteld. Ik heb het nu allemaal ingesteld van inside - internet en nu werkt het allemaal. Vraag me wel af waarom het tussen de twee inside interfaces stond ingesteld.