PIX 501 lukning af porte

Din access-liste på outside interface er ligegyldig. De vil ikke have indflydelse sålænge der er åbnet for VPN.

Der problemet ligger er hvis du har en access-liste på inside interfacet. Isåfald skal du åbne for HTTP og FTP fra lokation 1 til lokation 2.

Det jeg ville lukke af, det er fra Inside til Outside, dvs mine pc'er kan ikke sende http & ftp forespørgelser ud på nettet, men selvfølgelig skal de stadigt kunne sende http & ftp forspørgelser på VPN forbindelsen.

Det skal bruges meget seriøst til at lukke af for de meste anvendte Vira Port, f.eks. 445 og 135-139 osv,  Så der på ingen måde er chanche for at de bliver sendt videre ud på internettet, hvis en af pc'erne skulle blive ramt af sådan en virus

Ja naturligvis og så er det jo bare at gøre som jeg skriver. Nemlig at åbne i din access-list på inside interface og tillade HTTP og FTP imellem dine lokationer.

192.168.1.0/24 lokation 1
192.168.2.0/24 lokation 2

access-list FromInside permit 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 eq www
access-list FromInside permit 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 eq ftp
access-list FromInside permit 192.168.1.0 255.255.255.0 any eq www
access-list FromInside permit 192.168.1.0 255.255.255.0 any eq ftp
access-group FromInside in interface inside

Og omvendt på den anden pix naturligvis hvis der står servere begge steder ;-)

Hov.. tastefejl! Det skal naturligvis være sådan her:

access-list FromInside permit tcp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 eq www
access-list FromInside permit tcp 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 eq ftp
access-list FromInside deny tcp 192.168.1.0 255.255.255.0 any eq www
access-list FromInside deny tcp 192.168.1.0 255.255.255.0 any eq ftp
access-group FromInside in interface inside

Og så skal du naturligvis også spærre for udbredte vira porte og andre ting du ikke ønsker.. :-)

Jeg ved godt der er en implicit deny any any i bunden hvorfor mine 2 sidste linier ikke betyder en meter i praksis, men ville lige vise hvad det var jeg mente.

Hmmm... Mine VPN Tunneler gik ned, da jeg skrev dit forslag ind, Det var ikke meningen.
Har du en go ide ???. Er ikke så hård til access-lister på PIX...

Sådan ser mine nuværende access-lister ud.
access-list 100 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list 102 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0

global (outside) 1 interface
nat (inside) 0 access-list 100
nat (inside) 1 0.0.0.0 0.0.0.0

Er det ikke et spørgsmål om at rute alt trafik over din VPN tunnel så du kun har et sted at holde styr på det? Hvis du følger det skrivne forslag så vil der jo ikke være adgang til internettet fra det netværk som din pix sider på !

Betyder det at jeg gættede rigtig, da jeg nævnte 192.168.1.0/24 og 192.168.2.0/24 som dine lokationer eller er det også bare fiktive net?

maxmull,

Som jeg skrev som var jeg godt klar over at der er en implicit deny any any i bunden, men jeg formoder at han har en access-liste i forvejen og bare vil lægge dem her ind sammen med dem.