Toon posts:

Cisco pix 501 NAT

Pagina: 1
Acties:

Onderwerpen


  • TF
  • Registratie: juni 2001
  • Laatst online: 23:07
ik heb onlangs een pix 501 op de kop getikt op gebruik te kunnen maken van point to point VPN. De leercurve zal stijl zijn maar ik ga het gewoon proberen. Mijn cisco kennis is minimaal. Ik weet wel dat hun logo de golden gate bridgde is :-)

Ik heb mijn eenvoudige router thuis er nu tussenuit gehaald en de pix ervoor in de plaats gezet. Via cisco / google etc ben ik tot een een config gekomen die mijn inziens zou moeten werken om mijn verkeer naar het internet te routeren. Of wel nat / pat.

De pix komt prima in de lucht, kan hem benaderen via de https site(java) en ook via de consolepoort gaat het goed. Ik krijg op deze config geen errors.

Echter geen internet op mijn clients. Gateway etc op de clients staan goed.

Mis ik iets?

Hieronder volgt mijn gedepersonaliseerde config:


PIX Version 6.3(5)
interface ethernet0 100full
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password blabla encrypted
passwd blabla encrypted
hostname pixfirewall
domain-name test.tst
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside dhcp
ip address inside 10.21.7.253 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 10.21.7.0 255.255.255.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 10.21.7.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 10.21.7.100-10.21.7.120 inside
dhcpd dns 212.54.40.25 212.54.35.25
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
terminal width 80

  • raceduck
  • Registratie: januari 2001
  • Laatst online: 21-03 14:18
Werk je in de cli of in de pdm?

Heb je rules gemaakt dat er verkeer naar buiten mag?

  • TF
  • Registratie: juni 2001
  • Laatst online: 23:07
raceduck schreef op zondag 17 oktober 2010 @ 14:13:
Werk je in de cli of in de pdm?

Heb je rules gemaakt dat er verkeer naar buiten mag?
beiden. De config heb ik in de cli gemaakt op basis van een voorbeeld. ik heb geen extra rules gemaakt

  • _Arthur
  • Registratie: juli 2001
  • Laatst online: 21:34
TF schreef op zondag 17 oktober 2010 @ 14:15:
[...]

beiden. De config heb ik in de cli gemaakt op basis van een voorbeeld. ik heb geen extra rules gemaakt
Dan werkt je firewall "as-designed". Want hij weet nu niet welk verkeer nu wel of niet doorgelaten mag worden. Dus houd ie alles tegen.

  • TF
  • Registratie: juni 2001
  • Laatst online: 23:07
ik heb het gevonden. De volgende regel moet aangepast worden:

ip address outside dhcp

moet moest

ip address outside dhcp setroute

nu werkt het perfect!!

  • Vicarious
  • Registratie: juni 2008
  • Laatst online: 01-10-2020

Vicarious

☑Rekt | ☐ Not rekt

TF schreef op zondag 17 oktober 2010 @ 18:21:
ik heb het gevonden. De volgende regel moet aangepast worden:

ip address outside dhcp

moet moest

ip address outside dhcp setroute

nu werkt het perfect!!
Logisch, je had nu geen default route naar buiten toe. Ip route 0.0.0.0 0.0.0.0 <ip-adres modem> zou ook gewerkt hebben.

Vicariously I live while the whole world dies


  • mbaltus
  • Registratie: augustus 2004
  • Laatst online: 24-09 12:57
_Arthur schreef op zondag 17 oktober 2010 @ 15:12:
Dan werkt je firewall "as-designed". Want hij weet nu niet welk verkeer nu wel of niet doorgelaten mag worden. Dus houd ie alles tegen.
Cisco (PIX/ASA) laat standaard toch (IP) verkeer van hogere interface door naar lagere interface totdat je een eerste firewall regel definieert? Tenminste dat dacht ik altijd.

The trouble with doing something right the first time is that nobody appreciates how difficult it is


  • Vicarious
  • Registratie: juni 2008
  • Laatst online: 01-10-2020

Vicarious

☑Rekt | ☐ Not rekt

mbaltus schreef op maandag 18 oktober 2010 @ 16:48:
[...]

Cisco (PIX/ASA) laat standaard toch (IP) verkeer van hogere interface door naar lagere interface totdat je een eerste firewall regel definieert? Tenminste dat dacht ik altijd.
Klopt :)

Vicariously I live while the whole world dies


  • TF
  • Registratie: juni 2001
  • Laatst online: 23:07
Nu we toch bezig zijn. Ik heb een TS Gateway draaien op server 2008 achter mijn pix. Om deze te kunnen gebruiken heb ik inbound 80 en 443 nodig.

Ik kwam met deze commando's (er zijn vele opties zag ik al)


access-list permit tcp any any eq www
access-list permit udp any any eq 80
access-list permit tcp any any eq https
access-list permit udp any any eq 443

Maar bij het uitvoeren van het eerste commando krijg ik dit:

pixfirewall(config)# access-list permit udp any any eq 443
ERROR:<udp> not a valid permission
usage:

access-list 102 permit tcp any any eq www

Dit commando werkt bijv wel. Maar ik heb geen idee wat ik dan aangeef met die '102'. Is dat een groep?

[Voor 13% gewijzigd door TF op 18-10-2010 20:48]


  • Vicarious
  • Registratie: juni 2008
  • Laatst online: 01-10-2020

Vicarious

☑Rekt | ☐ Not rekt

102 is een access-group. Die access-group ken je dan toe aan een interface met een bepaalde richting. Als je verkeer van buiten naar binnen wilt toestaan, doe je dat met het commando access-group 102 interface outside in of iets dergelijks.

Met alleen die ACL ben je er nog niet, je moet er ook nog een statische NAT-entry voor aanmaken waarmee je een IP-adres aan de outside kant (publiek IP) koppelt aan een private IP. Dat gaat met het static commando, zoek maar op in de PIX command reference.

Vicariously I live while the whole world dies


  • enzii
  • Registratie: september 2008
  • Niet online
Het is access-group 102 in interface outside. Wat dus zo veel wil zeggen als plaats access-list 102 op interface outside inbound.

  • TF
  • Registratie: juni 2001
  • Laatst online: 23:07
het gaat nu bijna goed. Ik probeer nu poort 443 en 80 naar binnen toe te krijgen. Ik heb de portforwarders aangemaakt en probeer nu de access-list aan te passen zodat het verkeer ook zal worden toegestaan


object-group service AllowIN_TCP tcp
port-object eq www
port-object eq https

access-list outside_access_in permit tcp any object-group AllowIN_TCP
access-group outside_access_in in interface outside


Het aanmaken van de group AllowIN_TCP commando gaat prima. Echter de aanpassing op de accesslist niet.

'missing argument' als ik het commando uitvoer. Iemand enig idee?

  • Vicarious
  • Registratie: juni 2008
  • Laatst online: 01-10-2020

Vicarious

☑Rekt | ☐ Not rekt

na allow_in_tcp moet je nog aangeven waarnaartoe je het toestaat. Dus het interne IP-adres.

Vicariously I live while the whole world dies


  • TF
  • Registratie: juni 2001
  • Laatst online: 23:07
Vicarious schreef op vrijdag 22 oktober 2010 @ 20:35:
na allow_in_tcp moet je nog aangeven waarnaartoe je het toestaat. Dus het interne IP-adres.
access-list outside_access_in permit tcp any object-group AllowIN_TCP 10.21.7.253

zou het dan moeten worden? Ook dit commando werkt niet. Missing arguments

  • Vicarious
  • Registratie: juni 2008
  • Laatst online: 01-10-2020

Vicarious

☑Rekt | ☐ Not rekt

Mask moet er nog achter, of je moet host 10.21.7.253 neerzetten.. Bouw het commando anders rustig op met een ?. Dus access-list outside_access_in ?. Dan geeft IOS aan welk argument daarna moet komen. Dan ga je verder met de volgende stap, dus access-list outside_access_in permit ?

Vicariously I live while the whole world dies


  • TF
  • Registratie: juni 2001
  • Laatst online: 23:07
Vicarious schreef op vrijdag 22 oktober 2010 @ 21:29:
Mask moet er nog achter, of je moet host 10.21.7.253 neerzetten.. Bouw het commando anders rustig op met een ?. Dus access-list outside_access_in ?. Dan geeft IOS aan welk argument daarna moet komen. Dan ga je verder met de volgende stap, dus access-list outside_access_in permit ?
Oke, bedankt! Dit zijn mijn commando's geworden om verkeer toe te laten

static (inside, outside) tcp interface 443 10.21.7.240 443 netmask 255.255.255.255
static (inside, outside) tcp interface 80 10.21.7.240 80 netmask 255.255.255.255
object-group service AllowIN_TCP tcp
port-object eq www
port-object eq https
access-list outside_access_in permit tcp any object-group AllowIN_TCP 10.21.7.253 255.255.255.255
access-group outside_access_in in interface outside

Maar toch laat hij geen verkeer door vanaf het grote boze internet naar mijn interne server op 10.21.7.240:80/443.

Alles staat toch goed zo?

  • Vicarious
  • Registratie: juni 2008
  • Laatst online: 01-10-2020

Vicarious

☑Rekt | ☐ Not rekt

Dan functioneert je NAT denk ik nog niet. Heb je op de outside interface het commando ip nat outside toegepast en op je inside interface het commando ip nat inside? En staat je NAT naar buiten toe goed geconfigureerd? Zo te zien heb je nameljik 1 publiek IP waarmee je naar buiten wilt, functioneert dat al? We hebben een iets completer beeld nodig om het hele plaat je te overzien.

Verder kun je met enkele debug commando's wellicht achterhalen wat er precies misgaat. Met een Cisco ASA kun je iets meer, maar volgens mij moet je uit de debugs van de PIX ook wel redelijk wat info kunnen halen.

Vicariously I live while the whole world dies


  • TF
  • Registratie: juni 2001
  • Laatst online: 23:07
Mijn hele config staat in de ts. Daar moeten die accesslist commandos nog aan worden toegevoegd en natuurlijk setroute op de outside interface

Nat werkt volgens mij goed. Ik kan nml prima internetten via de pix als gateway.
Of mijn perceptie van nat is te bekrompen. Voor het routeren van interbetverkeer werkt de pix uitstekend. Wil dus nu voornamelijk een poort van buiten naar binnen openzetten en forwarden 80 en 443 naar 10.21.7.240 ( server 2008 ts )

  • Vicarious
  • Registratie: juni 2008
  • Laatst online: 01-10-2020

Vicarious

☑Rekt | ☐ Not rekt

Stom van mij, in je regel
access-list outside_access_in permit tcp any object-group AllowIN_TCP 10.21.7.253 255.255.255.255

moet je niet het interne maar het externe IP opgeven. Vermoedelijk werkt het dan wel.

Vicariously I live while the whole world dies


  • TF
  • Registratie: juni 2001
  • Laatst online: 23:07
Vicarious schreef op zaterdag 23 oktober 2010 @ 01:39:
Stom van mij, in je regel
access-list outside_access_in permit tcp any object-group AllowIN_TCP 10.21.7.253 255.255.255.255

moet je niet het interne maar het externe IP opgeven. Vermoedelijk werkt het dan wel.
Ik heb nu het ip adres van outside interface daar neer neergezet ofwel het externe IP. maar helaas nog geen verkeer naar binnen toe. aaaah

is het mask wel goed? 255.255.255.255 moet dat niet anders?

  • Vicarious
  • Registratie: juni 2008
  • Laatst online: 01-10-2020

Vicarious

☑Rekt | ☐ Not rekt

Pfoeh, dan weet ik het eerlijk gezegd ook niet meer. Het zou me wel helpen als ik de complete config op een rijtje heb, dat leest toch wat makkelijker. Ik kan hem hier ook wel min of meer uithalen, maar een complete config vind ik toch wat overzichtelijker.

Vicariously I live while the whole world dies


  • TF
  • Registratie: juni 2001
  • Laatst online: 23:07
dit is de huidige ingespoelde config:


PIX Version 6.3(5)
interface ethernet0 100full
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxxxx encrypted
passwd xxxxx encrypted
hostname hoogkarspel
domain-name imagine.tf
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside 10.21.7.253 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 10.21.7.0 255.255.255.0 0 0
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 10.21.7.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 10.21.7.100-10.21.7.120 inside
dhcpd dns 212.54.40.25 212.54.35.25
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
terminal width 80
static (inside, outside) tcp interface 443 10.21.7.253 443 netmask 255.255.255.255
static (inside, outside) tcp interface 80 10.21.7.253 80 netmask 255.255.255.255
object-group service AllowIN_TCP tcp
port-object eq www
port-object eq https
access-list outside_access_in permit tcp any object-group AllowIN_TCP 84.107.x.x 255.255.255.255
access-group outside_access_in in interface outside

uiteraard x.x om iets te depersonaliseren

  • Vicarious
  • Registratie: juni 2008
  • Laatst online: 01-10-2020

Vicarious

☑Rekt | ☐ Not rekt

Hmm ik vind het hele spul er best goed uitzien eigenlijk, ik weet het nu echt niet meer. Heb je nog geprobeerd om met debug-commando's te achterhalen wat er misgaat?

Vicariously I live while the whole world dies


  • TF
  • Registratie: juni 2001
  • Laatst online: 23:07
Vreemd..... Ik kom er verder niet meer uit.

Ik laat het even voor wat het is en kijk er over een paar dagen nog eens naar

  • mbaltus
  • Registratie: augustus 2004
  • Laatst online: 24-09 12:57
TF schreef op zaterdag 23 oktober 2010 @ 13:49:
dit is de huidige ingespoelde config:

PIX Version 6.3(5)
...
ip address inside 10.21.7.253 255.255.255.0
static (inside, outside) tcp interface 443 10.21.7.253 443 netmask 255.255.255.255
static (inside, outside) tcp interface 80 10.21.7.253 80 netmask 255.255.255.255
object-group service AllowIN_TCP tcp
port-object eq www
port-object eq https
access-list outside_access_in permit tcp any object-group AllowIN_TCP 84.107.x.x 255.255.255.255
access-group outside_access_in in interface outside
Ehh, je NAT je interne IP van de firewall in plaats van de host die je publiek wilt maken, toch? Dus het binnenkomende HTTP(S) verkeer wordt nu op de Inside interface van de firewall afgeleverd in plaats van op je interne host....
De twee static config-regels moeten natuurlijk wel over de interne host gaan.

[Voor 7% gewijzigd door mbaltus op 25-10-2010 12:50]

The trouble with doing something right the first time is that nobody appreciates how difficult it is


  • Vicarious
  • Registratie: juni 2008
  • Laatst online: 01-10-2020

Vicarious

☑Rekt | ☐ Not rekt

De static regels zijn volgens mij goed. Het outside adres dat wordt gebruikt is interface, ofwel het ip-adres op de outside interface. Aan de binnenkant gebruikt hij dat interne adres. Volgens mij is het goed...

Vicariously I live while the whole world dies


  • mbaltus
  • Registratie: augustus 2004
  • Laatst online: 24-09 12:57
Ik zeg ook niets over het outside adres/interface, maar als ik de eerste config regel lees (van het deel dat ik gequote heb) zet hij de inside ip van de firewall op .253. Dat IP gebruikt hij vervolgens ook in zijn NAT translatie.

Dus hij transleert zijn interne interface naar buiten.... Dat zou volgens mij het IP adres moeten zijn van de host die hij extern beschikbaar wil maken.

Dus: wat is het interne IP van de host die je extern benaderbaar wilt maken? Dat moet ingevuld worden bij de twee static config-regels

[Voor 19% gewijzigd door mbaltus op 25-10-2010 13:47. Reden: toevoeging]

The trouble with doing something right the first time is that nobody appreciates how difficult it is


  • Graafie
  • Registratie: februari 2004
  • Laatst online: 12-09-2018
access-list outside_access_in permit tcp any object-group AllowIN_TCP 84.107.x.x 255.255.255.255
Nu staat er dat als je vanaf any komt met 80 of 443 als source port je naar het externe adres mag op alle poorten

Dit moet zijn:
access-list outside_access_in permit tcp any 84.107.x.x object-group AllowIN_TCP

Zo zeg je dat je vanaf any met iedere TCP poort als source poort naar het externe adres mag verbinden met als destination poort 443 of 80

  • Vicarious
  • Registratie: juni 2008
  • Laatst online: 01-10-2020

Vicarious

☑Rekt | ☐ Not rekt

Ah verrek, je hebt gelijk. Stom dat ik dat niet zag :P Hopen voor TS dat het zo wel gaat werken.

Vicariously I live while the whole world dies

Pagina: 1


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee