Avatar billede kinn Nybegynder
19. juni 2005 - 02:34 Der er 10 kommentarer og
2 løsninger

Hjælp til opsætning af PIX 515E

Jeg er ved at skal sætte en PIX 515E firewall op men er helt grøn på dette område. Jeg har sat min PIX op så mit internet kører ( Det virker dog lidt langsommer end med min Netgear router )Mit problem er at jeg ikke kan sætte portforwarding op til FTP Mail mm.
Min PIX er sat op men software 7.0.1 og ASDM 5.0 .
Jeg skal bruge hjælp til at sætte min PIX op til en TFP server jeg har stående på mit netværk så jeg udefra kan connecte til den .Jeg bruger ASDM til at konfigurerer min PIX med.
Avatar billede jens_bach Nybegynder
19. juni 2005 - 22:35 #2
hvis jeg var dig så ville jeg ligge version 6 på i stedet for 7 da, der stadig er ret mange fejl i version 7.0.1

men ellers er det ret lig PDM'en hvis du vil blive i web interfacet.
under "Configuration" "Features" "NAT" "Translation Rules" new ->
1. under source host skiv den interne ip på fx mail serveren vælg inside
2. Translate Address on interface vælg Outside
2. Translate Address To, vælg static og interface
3a. vælg Redirect Port
3aa. TCP port 25 og 25

4. lav en access-list som tillader trafik ind på outside med dport 25
Avatar billede jens_bach Nybegynder
22. juni 2005 - 14:07 #3
? var svaret godt nok
Avatar billede kinn Nybegynder
23. juni 2005 - 09:25 #4
Jeg har ikke kunne få det til at virke .

Fik lavet de regler for NAT som du beskrev , de var dog allerede dækket ind under regler any to any men jeg lavede dem alligevel.

Da jeg så nåede ned til punkt 4 gik det lidt galt da jeg ikke kunne finde noget som hedder access-list .

Men under security lavede jeg en access rouel for any to server01 port 25 , men desværre uden held.

Jeg har også prøvet det samme med port 21 FTP men uden held.

Kan det være softwaren der fejler, jeg mener snart at have prøvet meget.
Avatar billede toontech Nybegynder
23. juni 2005 - 23:15 #5
Prøv i ASDM og vælge CLI og paste denne ind:

static (inside,outside) tcp interface ftp [ftp servers IP adresse] ftp netmask 255.255.255.255
access-list indoutside permit tcp any interface outside eq ftp
Avatar billede jens_bach Nybegynder
24. juni 2005 - 01:35 #6
du skal ikke bruge serverens ip men ip'en på interfacet (eller bare alias'et "Interface")

> ja. access-list indoutside permit tcp any interface outside eq ftp
Avatar billede kinn Nybegynder
25. juni 2005 - 02:28 #7
Men er dette ikke en regel så trafikken kan komme fra inside til outside

Jeg vil jo gerne fra outside til indside ftp server , så man fra internettet kan connecte til min ftp på inside ( Mit lan )

Jeg har prøvet med de regler som er forslået men det virker ikke.
Avatar billede toontech Nybegynder
25. juni 2005 - 15:25 #8
Det nok lettest hvis du poster din konfiguration.
Så får du en bedre hjælp.
De forslag jeg har anvist virker i de Cisco Pix jeg har.
Det er netop hvor man udefra kan komme i kontakt med en FTP server på LAN.
Måske du skal oprette den som en Host.
Avatar billede kinn Nybegynder
26. juni 2005 - 01:10 #9
PIX Version 7.0(1)2
names
!
interface Ethernet0
nameif outside
security-level 0
ip address 80.163.xxx.xxx 255.255.255.0
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet3
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet4
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet5
shutdown
no nameif
no security-level
no ip address
!
enable password Vrur5z1xxxxxx/U encrypted
passwd 2KFxxxxxx.xxxxU encrypted
hostname pixfirewall
domain-name xxxxx.dk
ftp mode passive
access-list indoutside extended permit tcp any interface outside eq ftp
pager lines 24
logging asdm informational
mtu outside 1500
mtu inside 1500
no failover
monitor-interface outside
monitor-interface inside
asdm image flash:/pdm
no asdm history enable
arp timeout 14400
global (outside) 10 interface
nat (inside) 10 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 80.163.xxx.xxx 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 inside
dhcpd lease 3600
dhcpd ping_timeout 50
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect rsh
  inspect rtsp
  inspect esmtp
  inspect sqlnet
  inspect skinny
  inspect sunrpc
  inspect xdmcp
  inspect sip
  inspect netbios
  inspect tftp
!
service-policy global_policy global
smtp-server 192.168.1.2
Cryptochecksum:82463588f93xxxxxxxxxxxe8a921ffaa3
pixfirewall#
Avatar billede jens_bach Nybegynder
27. juni 2005 - 10:01 #10
din
"access-list indoutside extended permit tcp any interface outside eq ftp"

er ikke bundet til nået interface
Avatar billede kinn Nybegynder
27. juni 2005 - 12:12 #11
Den config du ser er uden de nat regler som du har skrevet , jeg kan godt ligge dem ind og poste en ny config hvis det er nemmer.
Avatar billede kinn Nybegynder
16. juli 2005 - 00:07 #12
Lukker har desværre ikke fundet ud af mit problem
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester