Cisco PIX (6.03) Outside interface - Netwerken

donderdag 17 juni 2004 09:22

Acties:

Topicstarter

IK heb een vraag over de Cisco PIX.

Als ik vanuit mijn interne netwerk een http sessie op wil starten naar het public ip-address dan houd de PIX dat op de een of andere manier tegen.

ik wil dus een HTTP sessie maken naar de outside interface.

De reden ervoor is dat ik een website heb draaien en deze alleen kan openen op het public ip-address. Ik kan dit ook niet wijzigen d.m.v. DNS want dat is een ander domein dan mijn intern domein

Wat heb ik geprobeerd:
ik heb het geprobeerd d.m.v. een alias. dat werkt maar dan kan ik niet meer internetten.

Kan iemand me hierbij helpen?

donderdag 17 juni 2004 09:28

Acties:

Verwijderd

We kunnen hier helaas echt niets mee tot je je configuratie van die PIX post. Het zouden tig dingen kunnen zijn.

-> NT overigens.

donderdag 17 juni 2004 09:34

Acties:

danny230681

Topicstarter

mijn configuratie:

Building configuration...
: Saved
:
PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password L/yAjotUuo849JAU encrypted
passwd L/yAjotUuo849JAU encrypted
hostname pix
domain-name thuis.local
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
name 192.168.0.1 Server
name 192.168.10.0 Systemec_NW
name 192.168.69.0 Peter_NW
name 192.168.0.2 Danny
access-list inside_outbound_nat0_acl permit ip 192.168.0.0 255.255.255.0 Systemec_NW 255.255.255.0
access-list inside_outbound_nat0_acl permit ip 192.168.0.0 255.255.255.0 Peter_NW 255.255.255.0
access-list outside_cryptomap_20 permit ip 192.168.0.0 255.255.255.0 Systemec_NW 255.255.255.0
access-list inside_access_in permit tcp 192.168.0.0 255.255.255.0 any
access-list inside_access_in permit udp 192.168.0.0 255.255.255.0 any
access-list inside_access_in permit icmp 192.168.0.0 255.255.255.0 any
access-list inside_access_in permit ip 192.168.0.0 255.255.255.0 any
access-list outside_access_in permit tcp any interface outside eq www
access-list outside_access_in permit tcp any interface outside eq ftp
access-list outside_access_in permit tcp any interface outside eq ftp-data
access-list outside_access_in permit tcp any any eq pptp
access-list outside_access_in permit gre any any
access-list outside_access_in permit icmp any any
access-list outside_access_in permit tcp any interface outside eq 4672
access-list outside_cryptomap_40 permit ip 192.168.0.0 255.255.255.0 Peter_NW 255.255.255.0
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside 192.168.0.254 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location Server 255.255.255.255 inside
pdm location Systemec_NW 255.255.255.0 outside
pdm location Peter_NW 255.255.255.0 outside
pdm location Danny 255.255.255.255 inside
pdm location 193.79.28.154 255.255.255.255 outside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp interface www Server www netmask 255.255.255.255 0 0
static (inside,outside) tcp interface ftp Server ftp netmask 255.255.255.255 0 0
static (inside,outside) tcp interface ftp-data Server ftp-data netmask 255.255.255.255 0 0
static (inside,outside) tcp interface 4672 Server 4672 netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
ntp server Server source inside prefer
http server enable
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
sysopt connection permit-pptp
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set pfs group2
crypto map outside_map 20 set peer 194.229.164.254
crypto map outside_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 20 set security-association lifetime seconds 3600 kilobytes 8000000
crypto map outside_map 40 ipsec-isakmp
crypto map outside_map 40 match address outside_cryptomap_40
crypto map outside_map 40 set pfs group2
crypto map outside_map 40 set peer 193.67.122.8
crypto map outside_map 40 set transform-set ESP-3DES-SHA
crypto map outside_map 40 set security-association lifetime seconds 3600 kilobytes 8000000
crypto map outside_map interface outside
isakmp enable outside
isakmp key ******** address 194.229.164.254 netmask 255.255.255.255
isakmp key ******** address 193.67.122.8 netmask 255.255.255.255
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash sha
isakmp policy 20 group 5
isakmp policy 20 lifetime 21600
telnet 192.168.0.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
banner login =============================
banner login = this is a private network =
banner login = authorised access only =
banner login =============================
banner login = STAY AWAY =
banner login =============================
Cryptochecksum:c63c6beb7fdfd0c12b72b0aa360a8eb6
: end

donderdag 17 juni 2004 10:25

Acties:

_nethack

We're all MAD here

Wat jij wil kan voor zover ik weet niet.

Als je een host op je interne netwerk wil benaderen dan zal je dat op het interne IP moeten doen. Het benaderen van een publiek IP op de outside interface van die PIX kan helaas niet van binnen uit.

Je kunt natuurlijk die webserver met het private ip opnemen in je hosts file...

Sometimes you just have to sit back, relax, and let the train wreck itself

donderdag 17 juni 2004 10:47

Acties:

danny230681

Topicstarter

ok, thanx dan zijn we daar ook weer uit. Jammer dat dat niet kan maarja.

donderdag 17 juni 2004 12:19

Acties:

Verwijderd

danny230681 schreef op 17 juni 2004 @ 10:47:
ok, thanx dan zijn we daar ook weer uit. Jammer dat dat niet kan maarja.

Daar ben ik niet van overtuigd, fw ios voor een router kan dit namelijk wel, ik gebruik namelijk een nat / pat combinatie nat is dmz host.

Als ik dan vanaf intern de hostnaam van de externe interface van de router ping wordt het adres gespoofed met het interne adres.

wat buiten mijn netwerk 82.217.111.xxx is wordt op mijn netwerk geresolved als 192.168.200.10

donderdag 17 juni 2004 21:13

Acties:

proza

Probeer het onderstaande eens, nu gaat dit niet helemaal op daar jij DHCP gebruikt op de outside interface. Nu weet ik niet of het mogelijk is de alias ook anders te gebruiken moet je maar eens proberen.

alias(inside) 123.45.67.89 192.168.0.x 255.255.255.255

alias(inside) interface outside 192.168.0.x 255.255.255.255

x= inside server adres

If you see me collapse, pause my Garmin!🚶🏃

vrijdag 18 juni 2004 01:24

Acties:

Verwijderd

Je kan misbruik maken van de DNS server, hiermee kan het wel (dat gebruik ik op mijn werk ook). Maak een nieuwe zone aan (websitenaam.com), voeg daar een host aan toe "www" en link die naar je interne ipadres. Bedenk je wel dat je ook MX records zou moetten toevoegen voor dat domain als je de mail nog wil gebruiken.