Pix 501 - SSH til intern pc samtidig med Pix SSH admin

Det bliver nok svært med mindre du ikke har flere yderside adresser..

Hvis du har skal du lave din static om til:
static (inside,outside) tcp <yderside IP> ssh 192.168.1.2 ssh netmask 255.255.255.255 0 0

Hvis ikke må du flytte din SSH connection fra outside til anden port.. feks vha:
static (inside,outside) tcp interface 3888 192.168.1.2 22 netmask 255.255.255.255

/Rubeck

Det bliver nok svært med mindre du ikke har flere yderside adresser..  = Det bliver nok svært med mindre du HAR flere yderside adresser..  :-)

Kan det ikke lade sig gøre at tage trafikken på outside interface port 1 og så flytte den til inside interface port 22 og så kontakte serveren via en ssh forbindelse på outside interface port 1 og pix på den normale outside interface port 22?

ved lige at gennemlæse igen så opdager jeg, at jeg gør det du foreslår.
Men det systes ikke at virke. Kan jeg debugge til en ssh terminal og isåfald hvordan slåes det til

Kan du ikke paste din config?

/Rubeck

yes:
roskvist-wall(config)# wr ter
Building configuration...
: Saved
:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
..
hostname roskvist-wall
domain-name lan.roskvist.local
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
fixup protocol tftp 172
fixup protocol tftp 1723
names
name 192.168.1.30 vista
name 192.168.1.32 mobil
name 192.168.1.253 wifi
name 192.168.1.252 printer
name 192.168.1.251 pix
name 90.185.31.155 public1
access-list Outside-In permit tcp any any eq smtp log 7
access-list Outside-In permit tcp any any eq www log 7
access-list Outside-In permit gre host 130.225.184.43 host 192.168.1.14
access-list Outside-In permit tcp any any eq https log 7
access-list Outside-In deny gre any any
access-list Outside-In permit tcp any any eq 3389
access-list Outside-In permit tcp host 130.225.184.43 any eq pptp log 7
access-list Outside-In permit udp any any eq 52404 log 7
access-list Outside-In permit tcp any any eq 52408 log 7
access-list Outside-In permit tcp any any eq 1
pager lines 100
logging on
logging console debugging
logging monitor debugging
logging trap notifications
logging facility 23
logging device-id hostname
logging host inside 192.168.1.240
logging host inside vista
no logging message 106001
no logging message 304001
icmp deny any outside
icmp permit any inside
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside pix 255.255.255.0
ip verify reverse-path interface outside
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.0 255.255.255.255 inside
pdm location 192.168.1.240 255.255.255.255 inside
pdm logging debugging 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp interface 1 192.168.1.2 ssh netmask 255.255.255.255 0 0
static (inside,outside) tcp interface https 192.168.1.2 https netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www 192.168.1.2 www netmask 255.255.255.255 0 0
static (inside,outside) tcp interface ftp 192.168.1.2 ftp netmask 255.255.255.255 0 0
access-group Outside-In in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
url-cache dst 128KB
http server enable
http 192.168.1.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.255 inside
http vista 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps
floodguard enable
telnet 192.168.1.240 255.255.255.255 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh 192.168.1.0 255.255.255.0 inside
ssh timeout 60
management-access outside
console timeout 0
dhcpd address 192.168.1.2-192.168.1.33 inside
dhcpd dns 195.184.96.2
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd domain roskvist.local
dhcpd enable inside
...
url-block url-mempool 2
url-block url-size 2
url-block block 1
terminal width 120
....
: end
[OK]

Prøv lige at paste flg ind:

no access-list Outside-In permit tcp any any eq 1
no static (inside,outside) tcp interface 1 192.168.1.2 ssh netmask 255.255.255.255 0 0
static (inside,outside) tcp interface 3888 192.168.1.2 22 netmask 255.255.255.255
access-list Outside-In permit tcp any any eq 3888

Prøv så at SSH fra outside imod PIX yderside IP på port 3888...

/Rubeck

Det virker tilsyneladende ikke.

Men jeg bliver lige nød til at chekke at ssh serveren kører på linux boksen, men det kan jeg først gøre når jeg kommer hjem. Jeg vender lige tilbage senere

Men det skal da være helt like til. Pix er gateway og Linux er innefor ? Så forwarder man port 22 (eller en annen port) til Linux boksen og logger på denne.

Fra shell inne på Linux så taster man "ssh <ip>" og så bør vel Linux boksen gå over til å være klient for Pix pålogg.

Dette går da med to Linux bokser. Vet ikke om det er noe spesielt med Pix eller om jeg har missforstått opplegget slik at det ikke går.

Hvis det ellers er likt med Linux så kan man også la den utvendige boksen, gateway ha pålogg på port 22, og så kan man for eksempel forwarde for esksempel utvendig port 222 til invendig boks ip port 22.

Vet ikke om det er noe ved oppsettet som jeg ikke har forstått ..

det virker!
Jeg ved ikke lige hvorfor jeg ikke kunne forbinde fra skolen. Evt deres firewall??

Men det virker når jeg prøver inde fra naboen, så der er intet problem.

Jeg takker for hjælpen og venter et svar :-)

Godt a høre det spiller :-)

Mvh
Rubeck