CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede techhouse Nybegynder
13. april 2003 - 20:32 Der er 23 kommentarer og
1 løsning

PIX 501 - opsætning virker desværre ikke

Jeg har lige købt en Pix501 og jeg ønsker at man skal kunne når webserveren web2 udefra via ip x.x.x.10 som står på indersiden med IP 192.168.91.10

Dette gør jeg dels med
access-list outside_access_in permit tcp any host x.x.x.10 object-group Webserver
og
static (inside,outside) x.x.x.10 Web2 netmask 255.255.255.255 0 0

men det virker bare ikke :o(
Hvad er problemmet?

Følgende setup er benyttet....

PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password ******** encrypted
passwd ******** encrypted
hostname PixFirewall
domain-name xxxxx.dk
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
name 192.168.91.10 Web2
object-group service Webserver tcp
  description Http,Https og Ftp
  port-object eq ftp
  port-object eq ftp-data
  port-object eq https
  port-object eq www
access-list outside_access_in permit tcp any host x.x.x.10 object-group Webserver
access-list inside_outbound_nat0_acl permit ip any 192.168.91.64 255.255.255.248
pager lines 24
interface ethernet0 10baset
interface ethernet1 10full
mtu outside 1500
mtu inside 1500
ip address outside x.x.x.2 255.255.255.240
ip address inside 192.168.91.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool VPNIP 192.168.91.64-192.168.91.71
pdm location 192.168.91.64 255.255.255.192 outside
pdm location 192.168.91.64 255.255.255.248 outside
pdm location Web2 255.255.255.255 inside
pdm logging debugging 100
pdm history enable
arp timeout 14400
global (outside) 10 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
static (inside,outside) x.x.x.10 Web2 netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 x.x.x.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 192.168.91.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-pptp
no sysopt route dnat
telnet timeout 5
ssh timeout 5
vpdn group PPTP-VPDN-GROUP accept dialin pptp
vpdn group PPTP-VPDN-GROUP ppp authentication mschap
vpdn group PPTP-VPDN-GROUP ppp encryption mppe 40 required
vpdn group PPTP-VPDN-GROUP client configuration address local VPNIP
vpdn group PPTP-VPDN-GROUP pptp echo 60
vpdn group PPTP-VPDN-GROUP client authentication local
vpdn username xxxxx password *********
vpdn enable outside
vpdn enable inside
dhcpd address 192.168.91.128-192.168.91.150 inside
dhcpd dns 212.242.40.51 212.242.40.3
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd enable inside
terminal width 80
Avatar billede ®azzer® Nybegynder
14. april 2003 - 03:23 #1
hvad siger din log?
Får du hits på dine filtre?

Du benytter dig af nogle nye features jeg ikke har brugt før, så jeg tør ikke helt udtale mig :)
Avatar billede techhouse Nybegynder
14. april 2003 - 06:54 #2
Hvilken kommando skal jeg benyttes til at få logs?

Øv...
Jeg troede at hvis ønskede en server bag en PIX skulle mange benytte fx. denne kommando, denne kommando o.s.v. Men jeg kan godt se problemmet - når jeg benytter PDM (Web interface) - hvis der er linier/kommandoer som modvirker dette.
Avatar billede kenn-s Nybegynder
14. april 2003 - 07:16 #3
Prøv at fjerne accesslisterne og se om der er hul igennem....
Avatar billede ®azzer® Nybegynder
14. april 2003 - 12:37 #4
kenn-s:

som default er der lukket for traffik som bliver initeret fra et lavere sikkerheds nivaeu imod et højere, hvilket betyder at han skal have en access-list for at det virker.

techhouse:

show log
show access-list
Avatar billede techhouse Nybegynder
14. april 2003 - 17:45 #5
®azzer®:
Så er de her... Hvilken kommando skrives for at få selve loggen ud (Jeg kan godt enable den via PDMen)?

Result of PIX command: "show log"

Syslog logging: enabled
    Facility: 20
    Timestamp logging: disabled
    Standby logging: disabled
    Console logging: disabled
    Monitor logging: disabled
    Buffer logging: disabled
    Trap logging: disabled
    History logging: disabled

Result of PIX command: "show access-list"

access-list outside_access_in; 1 elements
access-list outside_access_in permit tcp any host x.x.x.10 eq www (hitcnt=11)
access-list inside_outbound_nat0_acl; 1 elements
access-list inside_outbound_nat0_acl permit ip any 192.168.91.64 255.255.255.248 (hitcnt=0)
Avatar billede ®azzer® Nybegynder
15. april 2003 - 01:09 #6
igen er jeg ikke helt sikker pga din konfiguration, men det tyder umiddelbart på at traffikken kommer igennem.
Avatar billede techhouse Nybegynder
15. april 2003 - 07:27 #7
Når jeg kalder min server på 192.168.91.10 får jeg svar med ikke ikke via x.x.x.10, så det må være i PIXen fejlen ligger.

Hvad er kommandoen så jeg kan få loggen ud?
Avatar billede ®azzer® Nybegynder
15. april 2003 - 16:12 #8
tech:

Gør du med "show log". Du kan tilføje ekstra logging med "logging ?" kommando
Avatar billede techhouse Nybegynder
16. april 2003 - 07:44 #9
Jeg prøver når jeg kommer hjem fra Påskeferie...
Takker
Avatar billede kenn-s Nybegynder
16. april 2003 - 14:18 #10
Skal der ikke være en conduit permit på de indgående interfaces ???
Avatar billede kenn-s Nybegynder
16. april 2003 - 14:32 #11
er det ikke i forbindelse med dit static statement der skal være en conduit?
Avatar billede kenn-s Nybegynder
16. april 2003 - 14:54 #12
hvad betyder de to 0 0 i din static "netmask"  ?
Avatar billede techhouse Nybegynder
17. april 2003 - 06:02 #13
Kenn-s:
Jeg er desværre ikke en haj til Cisco IOS og benytter derfor deres web interface PDM. Hvordan skal sætningen for en conduit permit se ud (så prøver jeg søndag aften)?
Avatar billede kenn-s Nybegynder
17. april 2003 - 09:52 #14
Eksempel på en conduit.................

Firewall(config)#conduit permit tcp host yyy.yyy.yyy.yyy eq 80 any

hvor ANY tillader alle eksterne host til yyy.yyy.yyy.yyy


jeg er ikke selv "haj" til dette og det er bare ment som et stikord, emn hvis du giver mig din email skal jeg sende dig en kopi af den side jeg har det fra, måske du kan søge på nettet og finde noget vedr. syntaks osv!!!

Ifølge min bog : all inbound connections must be explicitly configured by a conduit command. conduits specify which  external ip addressses are allowed to connect to wich internal addresses behind the pix firewall.
Avatar billede karstein Nybegynder
21. april 2003 - 17:23 #15
Hej

Prøv med denne.

access-list inet-incoming permit tcp any host x1.x1.x1.x1 eq http
static (inside,outside) tcp x1.x1.x1.x1 http x2.x2.x2.x2 http netmask 255.255.255.255 0 0
access-group inet-incoming in interface outside

conduit permit icmp any any

x1 skal være din offentlige ip og x2 skal være din webserver.

Til at starte med vil jeg foreslå ovenstående Conduit, som så efterfølgende kan tilpasses. - Prøv og lad mig høre ad.

/Karstein
Avatar billede techhouse Nybegynder
21. april 2003 - 18:37 #16
Karstein og kenn-s:
Der er desværre ikke nogen af jeres forslag som give et hul i gennem til webserveren.
Avatar billede karstein Nybegynder
21. april 2003 - 18:46 #17
Det skal virke. Har selv lavet en conf her i weekenden, som åbnede op for porte ind. - Dit Senarie må være meget specielt!
Avatar billede techhouse Nybegynder
21. april 2003 - 20:21 #18
Kan du ikke sende denne?
Avatar billede karstein Nybegynder
21. april 2003 - 22:44 #19
nameif ethernet0 outside security0
nameif ethernet1 inside security100

enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted

hostname Pix
domain-name domain.com

names
pager lines 24
interface ethernet0 10baset
interface ethernet1 10full

ip address outside pppoe setroute
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm

global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0

http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat

vpdn group pppoe_group request dialout pppoe
vpdn group pppoe_group localname xxxxxxxxxxxx
vpdn group pppoe_group ppp authentication pap
vpdn username xxxxxxxxxxxx password *********

dhcpd address 192.168.1.2-192.168.1.33 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside

access-list inet-incoming permit tcp any host 8x.19x.16x.138 eq http

static (inside,outside) tcp 8x.19x.16x.138 http 192.168.1.10 http netmask 255.255.255.255 0 0
access-group inet-incoming in interface outside
conduit permit icmp any any
Avatar billede karstein Nybegynder
21. april 2003 - 22:47 #20
Har fjernet alt det, som alligevel er standard, så den er lige til at hælde over i pixen. Jeg synes dog at du skal lave en "configure factory-default" i conf t mode. - Så resetter den (kan du selvfølgelig også gøre via PDM'en).

/KK
Avatar billede toontech Nybegynder
22. april 2003 - 10:54 #21
=> Kenn-s
Hvilken Cisco bog har du ?
Avatar billede kenn-s Nybegynder
26. april 2003 - 23:59 #22
MAngler der ikke en Permit IP på din outside/inside liste??
LOG i røven af dine acceslister genererer et hit direkte på consollen.

Jeg vil stadigvæk foreslå at du fjerner acceslisterne og laver en permit på alle relevante interfaces.

Er der accesslister på interfacet til pixen fra routeren ???


det er en original cisco bog, ikke specielt omkring PIX udstyr men der var et eksempel...
Avatar billede techhouse Nybegynder
28. april 2003 - 17:45 #23
Løsningen fundet!
Jeg kan ikke teste min egen webserver gennem pixen!
/Thomas

Hvem skal have point?
Avatar billede jens_bach Nybegynder
13. maj 2005 - 21:50 #24
lukker du det ikke
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Firewalls kategorien

Titel Indlæg Oprettet Seneste aktivitet
Fejlmeddelse i Easy Firewall Af cyperbent i Firewalls 22 21/01/202418:54 08/03/202415:31
Abelssoft EasyFirewall Af valby i Firewalls 9 12/10/202319:21 13/10/202319:17
Firewals og antivirus med videre Af mogens8000 i Firewalls 4 24/06/202213:54 24/06/202215:30
Din internetadgang er blokeret Af sigyn i Firewalls 1 04/01/202218:04 04/01/202220:25
Den afsatte tid til at gennemføre dit køb, er desværre udløbet. Men dit produkt er sandsynligvis stadig tilgængeligt i sortimentet. Forsøg gerne igen" Af gh0stry i Firewalls 3 25/09/202114:52 25/09/202120:39
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 11:44 Sti og filnavn i sidefod Af boro23 i Word
I dag 11:02 Zyxel Multy U netværk Af jcr18 i Wifi
I dag 08:52 DOWNLOAD TIL SAMME MAPPE Af snestrup2000 i Browsere
I dag 00:54 Windows 11 Pro - IIS Af bsn i Windows
I går 18:46 Omdanne stik på router til USB Af valby i Routere & Switches
White papers
Flere white papers »


Premium
Teaser billede
Meldes til politiet for grove GDPR-brud og elendig sikkerhed: Mere end 1.000 tidligere ansatte har haft fri adgang til centralt KMD-system
Læs mere »
Disse seks anbefalinger fra den danske it-branche skal sikre Danmarks digitale kvantespring
Kunderne raser, og priserne er eksploderet: Alligevel er salget af VMware en kæmpe-succes
Boghandler er blevet en af Danmarks førende eksperter i Microsoft Teams: "Til at begynde med virkede det fuldstændig uopnåeligt"
Se alle »
Computerworld
Teaser billede
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Læs mere »
Test: Den snusfornuftige Volkswagen ID.3 blevet til lidt af el-bisse
Kæmpe datalæk på hospital: 750.000 patienters fortrolige data lækket
Microsofts nye pc er ekstrem billig – men kan blive ekstrem sikker og fleksibel
Se alle »
CIO
Teaser billede
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Læs mere »
Microsoft hæver priserne på M365: Sådan kommer de nye priser til at ramme
Konsulenthus vil rulle Microsoft 365 Copilot ud til 200.000 ansatte
Microsoft et døgn efter nedbrud: Stadig problemer med Outlook
Se alle »
Job & Karriere
Teaser billede
Microsoft klar med ny direktion for den danske forretning: Her er de nye direktører
Læs mere »
Efter skelsættende møde med sportscoach: Stor dansk it-arbejdsplads indfører fredags-fri og isbade i arbejdstiden
Linus Torvalds giver russiske Linux-udviklere sparket: Vil ikke have noget med dem at gøre
Twoday er rykket til et af de dyreste postnumre i Danmark – og det kan betale sig, siger topchef Lars Berthelsen
Se alle »
White paper
Teaser billede
Sikkerhed uden grænser: Cisco Hypershield
Læs mere »
Cyberangreb bliver mere kostbare: Er du forberedt?
Vær proaktiv og prioritér IT-sikkerheden – før det er for sent
MDR: Transparent sikkerhed og overvågning i realtid
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »