CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede _et Praktikant
18. september 2008 - 09:25 Der er 10 kommentarer og
1 løsning

Pix 501 - SSH til intern pc samtidig med Pix SSH admin

Jeg skal have mulighed for at lave en ssh forbindelse til en intern linux maskine, uden af fjerne muligheden for extern administration af pix via ssh.

Jeg havde tænkt at gøre det ved at lave linux forbindelsen via externip:1 og så forwarde den til linuxip:22 men det virker ikke efter hensigten.

Her er uddrag min access-list og static
access-list Outside-In line 11 permit tcp any any eq 1 (hitcnt=0)
static (inside,outside) tcp interface 1 192.168.1.2 ssh netmask 255.255.255.255 0 0

Kan det gøres på den måde - Er der fejl i opsætning eller er der en bædre måde
Avatar billede rubeck Nybegynder
18. september 2008 - 09:46 #1
Det bliver nok svært med mindre du ikke har flere yderside adresser..

Hvis du har skal du lave din static om til:
static (inside,outside) tcp <yderside IP> ssh 192.168.1.2 ssh netmask 255.255.255.255 0 0

Hvis ikke må du flytte din SSH connection fra outside til anden port.. feks vha:
static (inside,outside) tcp interface 3888 192.168.1.2 22 netmask 255.255.255.255

/Rubeck
Avatar billede rubeck Nybegynder
18. september 2008 - 09:47 #2
Det bliver nok svært med mindre du ikke har flere yderside adresser..  = Det bliver nok svært med mindre du HAR flere yderside adresser..  :-)
Avatar billede _et Praktikant
18. september 2008 - 09:58 #3
Kan det ikke lade sig gøre at tage trafikken på outside interface port 1 og så flytte den til inside interface port 22 og så kontakte serveren via en ssh forbindelse på outside interface port 1 og pix på den normale outside interface port 22?
Avatar billede _et Praktikant
18. september 2008 - 10:23 #4
ved lige at gennemlæse igen så opdager jeg, at jeg gør det du foreslår.
Men det systes ikke at virke. Kan jeg debugge til en ssh terminal og isåfald hvordan slåes det til
Avatar billede rubeck Nybegynder
18. september 2008 - 10:30 #5
Kan du ikke paste din config?

/Rubeck
Avatar billede _et Praktikant
18. september 2008 - 10:40 #6
yes:
roskvist-wall(config)# wr ter
Building configuration...
: Saved
:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
..
hostname roskvist-wall
domain-name lan.roskvist.local
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
fixup protocol tftp 172
fixup protocol tftp 1723
names
name 192.168.1.30 vista
name 192.168.1.32 mobil
name 192.168.1.253 wifi
name 192.168.1.252 printer
name 192.168.1.251 pix
name 90.185.31.155 public1
access-list Outside-In permit tcp any any eq smtp log 7
access-list Outside-In permit tcp any any eq www log 7
access-list Outside-In permit gre host 130.225.184.43 host 192.168.1.14
access-list Outside-In permit tcp any any eq https log 7
access-list Outside-In deny gre any any
access-list Outside-In permit tcp any any eq 3389
access-list Outside-In permit tcp host 130.225.184.43 any eq pptp log 7
access-list Outside-In permit udp any any eq 52404 log 7
access-list Outside-In permit tcp any any eq 52408 log 7
access-list Outside-In permit tcp any any eq 1
pager lines 100
logging on
logging console debugging
logging monitor debugging
logging trap notifications
logging facility 23
logging device-id hostname
logging host inside 192.168.1.240
logging host inside vista
no logging message 106001
no logging message 304001
icmp deny any outside
icmp permit any inside
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside pix 255.255.255.0
ip verify reverse-path interface outside
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.0 255.255.255.255 inside
pdm location 192.168.1.240 255.255.255.255 inside
pdm logging debugging 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp interface 1 192.168.1.2 ssh netmask 255.255.255.255 0 0
static (inside,outside) tcp interface https 192.168.1.2 https netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www 192.168.1.2 www netmask 255.255.255.255 0 0
static (inside,outside) tcp interface ftp 192.168.1.2 ftp netmask 255.255.255.255 0 0
access-group Outside-In in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
url-cache dst 128KB
http server enable
http 192.168.1.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.255 inside
http vista 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps
floodguard enable
telnet 192.168.1.240 255.255.255.255 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh 192.168.1.0 255.255.255.0 inside
ssh timeout 60
management-access outside
console timeout 0
dhcpd address 192.168.1.2-192.168.1.33 inside
dhcpd dns 195.184.96.2
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd domain roskvist.local
dhcpd enable inside
...
url-block url-mempool 2
url-block url-size 2
url-block block 1
terminal width 120
....
: end
[OK]
Avatar billede rubeck Nybegynder
18. september 2008 - 10:45 #7
Prøv lige at paste flg ind:

no access-list Outside-In permit tcp any any eq 1
no static (inside,outside) tcp interface 1 192.168.1.2 ssh netmask 255.255.255.255 0 0
static (inside,outside) tcp interface 3888 192.168.1.2 22 netmask 255.255.255.255
access-list Outside-In permit tcp any any eq 3888

Prøv så at SSH fra outside imod PIX yderside IP på port 3888...

/Rubeck
Avatar billede _et Praktikant
18. september 2008 - 11:14 #8
Det virker tilsyneladende ikke.

Men jeg bliver lige nød til at chekke at ssh serveren kører på linux boksen, men det kan jeg først gøre når jeg kommer hjem. Jeg vender lige tilbage senere
Avatar billede langbein Nybegynder
19. september 2008 - 18:42 #9
Men det skal da være helt like til. Pix er gateway og Linux er innefor ? Så forwarder man port 22 (eller en annen port) til Linux boksen og logger på denne.

Fra shell inne på Linux så taster man "ssh <ip>" og så bør vel Linux boksen gå over til å være klient for Pix pålogg.

Dette går da med to Linux bokser. Vet ikke om det er noe spesielt med Pix eller om jeg har missforstått opplegget slik at det ikke går.

Hvis det ellers er likt med Linux så kan man også la den utvendige boksen, gateway ha pålogg på port 22, og så kan man for eksempel forwarde for esksempel utvendig port 222 til invendig boks ip port 22.

Vet ikke om det er noe ved oppsettet som jeg ikke har forstått ..
Avatar billede _et Praktikant
21. september 2008 - 11:43 #10
det virker!
Jeg ved ikke lige hvorfor jeg ikke kunne forbinde fra skolen. Evt deres firewall??

Men det virker når jeg prøver inde fra naboen, så der er intet problem.

Jeg takker for hjælpen og venter et svar :-)
Avatar billede rubeck Nybegynder
21. september 2008 - 15:09 #11
Godt a høre det spiller :-)

Mvh
Rubeck
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Firewalls kategorien

Titel Indlæg Oprettet Seneste aktivitet
Fejlmeddelse i Easy Firewall Af cyperbent i Firewalls 22 21/01/202418:54 08/03/202415:31
Abelssoft EasyFirewall Af valby i Firewalls 9 12/10/202319:21 13/10/202319:17
Firewals og antivirus med videre Af mogens8000 i Firewalls 4 24/06/202213:54 24/06/202215:30
Din internetadgang er blokeret Af sigyn i Firewalls 1 04/01/202218:04 04/01/202220:25
Den afsatte tid til at gennemføre dit køb, er desværre udløbet. Men dit produkt er sandsynligvis stadig tilgængeligt i sortimentet. Forsøg gerne igen" Af gh0stry i Firewalls 3 25/09/202114:52 25/09/202120:39
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 11:43 Gmail-ikon på skrivebordet Win 10 Af ErikHg i Fri debat
I dag 09:22 Lopslag Af Luffe i Excel
I går 19:15 Personlige indstillinger på Facebook Af nu_igen i Sociale medier
I går 17:56 Bluetooth Højttalersæt Af valby i Andet hardware
I går 16:52 Flextids registrering Af Kenneth Kirsgart i Excel
White papers
Flere white papers »


Premium
Teaser billede
Rigsrevisionen undersøger it-sikkerheden i Banedanmarks signalsystem
Læs mere »
Nye prisstigninger kan være på vej til VMware-kunder: Priser står til flerdobling
Oplæring i ny it skaber frustrationer: Mange ansatte føler, at de spilder tiden
AI kan gøre danske projektledere arbejdsløse, hvis ikke de passer på: "Både hastigheden og præcisionen i arbejdet vil stige "
Se alle »
Computerworld
Teaser billede
Softwarefirmaet Teamviewer med 640.000 kunder globalt ramt af avanceret hackerangreb
Læs mere »
En pladesaks, 1000W og et Nvidia-grafikkort til 14.000 kroner - sådan opgraderede jeg min pc
Test: Endelig en skærm der er god til alt - lige fra gaming og underholdning til kontorbrug
I dag træder nye de regler om registrering af din arbejdstid i kraft: Er du klar?
Se alle »
CIO
Teaser billede
Efter stort hackerangreb mod Teamviewer: Stop dine opdateringer og tjek opsætningen nu
Læs mere »
I dag træder nye de regler om registrering af din arbejdstid i kraft: Er du klar?
Frygtet melding: Russiske hackere har stjålet Microsoft-kunders e-mails
Russisk hack af Microsoft er meget større end først antaget
Se alle »
Job & Karriere
Teaser billede
Bo solgte sit software-system for et treciftret millionbeløb: Brugte pengene på at købe 80 medarbejdere til ny storsatsning
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
IBM Danmark skifter ud i sin øverste ledelse - her er den nye direktion
Se alle »
White paper
Teaser billede
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
Læs mere »
MDR: Transparent sikkerhed og overvågning i realtid
Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data
SASE: Træf det rette valg – første gang
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »