[Cisco] Problemen met Access Rules op PIX firewall

Op een PIX501 wil ik een access rule aanmaken die SMTP, HTTP, HTTPS en Terminal service-verkeer van buiten naar binnen toe staat. Als ik het goed heb zijn dat poort 25, 80, 443 en 3389 TCP. Wanneer ik een rule aanmaak die alle TCP-protocollen toestaat dan werkt het prima, maar dat wil ik natuurlijk niet.

Ik klik op Manage Service Groups, selecteer TCP en klik op Add. Vervolgens selecteer ik HTTP, HTTPS, SMTP en 2289 en voeg ze toe. Wanneer ik deze Service Group nu selecteer voor de access rule, dan werkt het niet. Alles staat potdicht. Wijzig ik hem weer naar Service = Any dan staat de boel weer wijd open.

Doe ik het verkeerd?

De regel werkt prima als ik alle TCP-protocollen selecteer maar niet als ik er 4 bundel in een groepje.

zwelgje schreef op woensdag 17 november 2004 @ 21:11:
je wilt een simpele portmapping maken van buiten naar binnen naar een specifieke host

ip nat inside source static tcp 192.168.0.x 3389 xxx.xxx.xxx.xxx 3389 extendable

moet dan voldoende zijn voor een mapping naar binnen (in dit geval RDP)

Sorry, vergeten te vermelden: ik gebruik de PDM. Nee, het is niet de portmapping waar het mij om gaat, ik heb een statische translation rule aangemaakt en daar zit geen probleem.

Waar het probleem wel zit is bij het maken van de access rule:

Wanneer ik een rule aanmaak die alle TCP-protocollen toestaat dan werkt het prima, maar dat wil ik natuurlijk niet.

Ik klik op Manage Service Groups, selecteer TCP en klik op Add. Vervolgens selecteer ik HTTP, HTTPS, SMTP en 2289 en voeg ze toe. Wanneer ik deze Service Group nu selecteer voor de access rule, dan werkt het niet. Alles staat potdicht. Wijzig ik hem weer naar Service = Any dan staat de boel weer wijd open.

Wanneer ik alle TCP protocollen toe sta dan werkt dat. Wanneer ik 4 specifieke protocollen in een service group zet en die service group toe sta, dan werkt het niet.

Ik kan het niet duidelijker uitleggen, ik neem aan dat dit voor mensen die de grafische interface kennen duidelijk is.

[ Voor 5% gewijzigd door Jazzy op 17-11-2004 21:19 ]

Neophyte schreef op woensdag 17 november 2004 @ 22:06:
Welke versie van PIX OS heb je?

Pix: 6.3(1)
PDM: 3.0(1)

Vraag je dat zomaar of denk je dat ik tegen een bug aanloop die samenhangt met een bepaalde versie?

richardkraal schreef op woensdag 17 november 2004 @ 22:47:
ok ok, niet helemaal de cisco spirit, maar door mijn (nog) geringe kennis moet ik me even met dit behelpen

Ach, ik vind dit eigenlijk gewoon onzin. De PDM die Cisco levert is een perfecte tool om je PIX te beheren.

Juist door de PDM is een PIX ook prima te gebruiken door beheerders die wel netwerkkennis hebben maar geen IOS/PIX OS kennen.