CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg

Log ind eller opret profil

Du kan også logge ind via nedenstående tjenester

tahoo Nybegynder

28. august 2003 - 12:40 Der er 7 kommentarer og
1 løsning

Cisco Pix 501

Hejsa

Jeg søger en færdig config fil til min firewall /"router" der skal fungere med nat.

Wan Ip : 80.80.80.80
Wan Netmask : 255.255.255.252
Wan Gateway : 80.80.80.79

Lan Ip : 10.0.0.1

Sådan at min første klient pc bliver følgende :
Ip : 10.0.0.2
Netmask : 255.255.255.0
Gateway : 10.0.0.1

Også skal der være mulighed for fx. at videre sende port 110 til fx lan ip 10.0.0.99

der skal også være mulig at deny fx 999 ud af huset..

Håber nogle kan hjælpe mig...

Synes godt om

svindler Nybegynder

28. august 2003 - 22:01 #1

ip address outside 80.80.80.80 255.255.255.252
ip address inside 10.0.0.1 255.255.255.0
global (outside) 1
nat (inside) 1 10.0.0.0 255.255.255.0 0 0
static (inside,outside) tcp interface pop3 10.0.0.99 pop3 netmask 255.255.255.255 0 0
access-group inbound in interface outside
access-group outbound in interface inside
access-list inbound permit tcp any any eq pop3
access-list outbound deny tcp any any eq 999
access-list outbound permit ip any any
dhcpd address 10.0.0.2-10.0.0.98 inside
dhcpd enable inside

Det kan være, at du er nødt til at fjerne nogle af linierne, der som standard ligger i pix'en, før det virker. Jeg kan ikke helt huske, hvordan en default konfiguration ser ud på en 501'er.

Synes godt om

tahoo Nybegynder

28. august 2003 - 22:13 #2

Hej tak for dit svar - syntes ikke helt jeg kan få det til at virke..
jeg har nu lavet en factory-default på min pix.. også har jeg taget config filen ud af den... Måske vil du prøve at sætte det ind i config filen..

Så vil jeg være meget taknemlig.... :-)

Building configuration...
: Saved
:
PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxxxxx encrypted
passwd xxxxxx encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
pager lines 24
interface ethernet0 10baset
interface ethernet1 10full
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
telnet timeout 5
ssh timeout 5
dhcpd address 192.168.1.2-192.168.1.33 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
terminal width 80
Cryptochecksum:1e38380c67c1d1e66a4936bc6d69e195
: end

Synes godt om

svindler Nybegynder

28. august 2003 - 22:25 #3

Jeg vil gerne vide, om du med factory-default kan komme på internettet indefra, eller om der er nogle basale problemer vi skal have løst først.

Synes godt om

tahoo Nybegynder

28. august 2003 - 22:31 #4

Jeg kan ikke komme på internet med factory-default, men hvis jeg sætter mine wan ip adresser / netmask / gatway ind.. kan jeg godt pinge en "internet ip" fra den...

Men det skulle gerne være sådan at når jeg sætter min klient pc på med

Ip : 10.0.0.2
Netmask : 255.255.255.0
Gateway : 10.0.0.1

Kan han også gå på internet...

Håber det var svar nok...

Synes godt om

rubeck Nybegynder

30. august 2003 - 01:01 #5

Hejsa...

Jeg har rettet din default config lidt til.....

Din udbyders DNS addresser el. din egne, hvis haves, skal bare indsættes i DHCP scope inside
i DNS1 og DNS2.

Håber det kan hjælpe..

/Rubeck

PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxxxxx encrypted
passwd xxxxxx encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
name 80.80.80.80 OutsideEth
pager lines 24
interface ethernet0 10baset
interface ethernet1 10full
mtu outside 1500
mtu inside 1500
ip address outside OutsideEth 255.255.255.252
ip address inside 10.0.0.1 255.255.255.0
access-list IntOutside permit tcp any host OutsideEth eq pop3
access-list IntOutside permit icmp any host OutsideEth echo-reply
access-list IntOutside permit icmp any host OutsideEth time-exceeded
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
route outside 0.0.0.0 0.0.0.0 80.80.80.79
static (inside,outside) tcp interface pop3 10.0.0.99 pop3 netmask 255.255.255.255
access-group IntOutside in interface outside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 10.0.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
no sysopt route dnat
telnet timeout 5
ssh timeout 5
dhcpd address 10.0.0.3-10.0.0.33 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd dns DNS1 DNS2
dhcpd enable inside
terminal width 80
Cryptochecksum:1e38380c67c1d1e66a4936bc6d69e195
: end

Synes godt om

rubeck Nybegynder

30. august 2003 - 01:14 #6

UPS.... Glemte DENY af TCP port 999 outgoing, sorry :-)

access-list IntInside deny tcp any any eq 999
access-list IntInside permit ip any any
access-group IntInside in interface inside

/Rubeck, igen

Synes godt om

tahoo Nybegynder

30. august 2003 - 12:54 #7

>> Rubeck - du er guld det virker bare...

Må jeg spørge om hvorfor man gør dette :

static (inside,outside) tcp interface pop3 10.0.0.99 pop3 netmask 255.255.255.255

Altså hvorfor en netmask på 255.255.255.255 ?

Synes godt om

rubeck Nybegynder

30. august 2003 - 18:42 #8

Hejsa...

Glæder mig at høre det virker :-)

Man kan lave statiske NAT mapninger imellem hele net, da masken gælder for både inside og outside net.

Men du kan læse mere her:
http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_62/cmdref/s.htm#1026694

/Rubeck

Synes godt om

Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Følg dette spørgsmål

Opret Preview

Se alle it-kurser fra Computerworld Kurser

IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Se alle it-kurser

Flere spørgsmål fra Firewalls kategorien

Titel	Indlæg	Oprettet	Seneste aktivitet
Fejlmeddelse i Easy Firewall Af cyperbent i Firewalls	22	21/01/202418:54	08/03/202415:31
Abelssoft EasyFirewall Af valby i Firewalls	9	12/10/202319:21	13/10/202319:17
Firewals og antivirus med videre Af mogens8000 i Firewalls	4	24/06/202213:54	24/06/202215:30
Din internetadgang er blokeret Af sigyn i Firewalls	1	04/01/202218:04	04/01/202220:25
Den afsatte tid til at gennemføre dit køb, er desværre udløbet. Men dit produkt er sandsynligvis stadig tilgængeligt i sortimentet. Forsøg gerne igen" Af gh0stry i Firewalls	3	25/09/202114:52	25/09/202120:39

Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester

Alle kategorier på Eksperten

Seneste artiklerRSS