PIX Config

[JoergStueger]

N'abend die Damen und Herren,

hab hier neben mir ne Cisco Pix 501 Firewall, und soll das Ding auf einen INode SDSL mit mehreren öffentlichen IPs konfigurieren ...

Da ich mit Cisco bis dato noch gar nix am Hut hatte, würd's mich freuen, wenn sich jemand finden könnte, der mir nen "Pix-Crashkurs" verpassen könnte ...

Ist da jemand?

LG
Jörg

[JoergStueger]

Folgendes noch dazu:

Kann mittlerweilen

a) die Firewall aus einem anderen Netz pingen
b) von der Firewall aus (per Hyperterminal) auch jede andere Ip pingen

Was ich zB nicht kann, ist die PIX als Gateway zu nehmen, das lässt sie mich nicht!

LG
Jörg

[JoergStueger]

Na, die Cisco-Könner noch nicht ausgeschlafen?

LG
Jörg

[jorge]

...verwendest du den "PDM (pix device manager)? wenn nicht würde ich dir das schwer empfehlen.

https://[ip-der-pix]

dazu musst du allerdings an der konsole definieren welche ip sich über pdm "connecten" darf.

gruss
jorge

[jorge]

noch was....
wenn du den pdm nicht verwenden willst, hier eine beispielkonfiguration (kommentiert):

nameif ethernet0 outside security0 # ethernet0 ist immer der name des outside int.
securtiy stufen von 0 bis 100, 100 ist höchste sec. stufe
nameif ethernet1 inside security100 # ethernet1 ist immer der name des inside int.
interface ethernet0 10baset # eh klar
interface ethernet1 10baset # eh klar
ip address outside 209.165.201.3 255.255.255.224 # eh klar
ip address inside 192.168.3.0 255.255.255.0 # eh klar
hostname pixfirewall # auch klar
arp timeout 14400 # nach 14400 secunden wird der arp cache refresht
no failover # keine 2. firewall für failover geht erst ab der 515E
names # du kannst jeder ip adresse und jedem netzwerk einen namen geben, so ne art lmhosts datei wie bei win
pager lines 24 # anzahl der zeilen die hyperterminal oder telnet auf einmal anzeigen
logging buffered debugging # wenn debug aktiviert schreibt die pix die outputs in einen internen buffer
nat (inside) 1 0 0 # 1 ist die NAT ID, 0 steht für IP Adresse (Network) 0.0.0.0, die 2te 0 für die Subnetmask
global (outside) 1 209.165.201.10-209.165.201.30 # jeder der von innen nach aussen will bekommt eine ip adr. aus diesem pool
global (outside) 1 209.165.201.8 # sind im obigen pool keine adressen mehr verfügbar macht die pix PAT mit dieser adresse
route outside 0.0.0.0 0.0.0.0 209.165.201.1 1 # ist die metric (1 hop bis zum nächsten router)
access-list ping_acl permit icmp any any
access-group ping_acl in interface inside
access-group ping_acl in interface dmz
access-list acl_out
permit icmp any any #ist der name der access list (kann auch eine zahl sein)
timeout xlate 3:00:00 # nach 3 stunden wird nat table refresht
timeout conn 1:00:00 half-closed 0:10:00 # PDM timeout, hat auch mit nat zu tun
udp 0:02:00 rpc 0:10:00 h323 0:05:00 # protokoll spezifische timeouts (vergiss es)
sip 0:30:00 sip_media 0:02:00 # protokoll spezifische timeouts (vergiss es)
timeout uauth 0:05:00 absolute # protokoll spezifische timeouts (vergiss es)
no snmp-server location # ist klar
no snmp-server contact # ist klar
snmp-server community public # public ist das default snmp password (Read only)
mtu outside 1500 # max groesse der erlaubten IP Packete in byte am outside interface (einfach so lassen)
mtu inside 1500 # max groesse der erlaubten IP Packete in byte am inside interface (einfach so lassen)

jorge

[JoergStueger]

Ich verwende den PDM ...

Komm aber nicht weiter ...

Kann wie gesagt von der PIX aus pingen, von einem Host im LAN aber nicht. Was mach ich falsch?

LG
Jörg

[jorge]

...du könntest mir deine config als pm schicken, dann schau ich sie mir mal an.

gruss
jorge

[JoergStueger]

Danke ...

... hast PM ...

LG
Jörg

[jorge]

...habs gesehen:

also von innen nach aussen ist generell (bis auf ping, was wohl dein problem ist) alles erlaubt ==> default.
ich denke wenn du ping explizit erlaubst kannst du auch pingen.
wenn du von i nach a was verbieten willst musst du 4 protokoll gruppen
udp, tcp, icmp, ip auf deny setzen und davor explizit die einzelnen ports
erlauben. du muss nicht aus der liste auswählen, du kannst jede erlaubte
port nummer eingeben. die 4 denys muessen auf jeden fall am ende der
access rules sstehen und die erste rule (implicit outbound rule) darfst nicht
angreifen.

bsp.:
access-list inside_access_in permit tcp any any eq 443
access-list inside_access_in permit udp any any eq domain
access-list inside_access_in permit tcp host ####### any eq www
access-list inside_access_in permit tcp host ##### any eq www
access-list inside_access_in permit tcp host ####### any eq www
access-list inside_access_in permit tcp host ####### host ######### eq 3048
access-list inside_access_in permit tcp host ##### host ###### eq 3048
access-list inside_access_in permit tcp host ##### host ##### eq 3048
access-list inside_access_in permit tcp any any eq ftp
access-list inside_access_in permit tcp any any eq pop3
access-list inside_access_in permit tcp any any eq smtp
access-list inside_access_in permit tcp host ##### host ###### eq 11080
access-list inside_access_in permit tcp host ##### host ##### eq 3048
access-list inside_access_in permit tcp host ##### host ##### eq 3048
access-list inside_access_in permit tcp host P##### host ###### eq 3048
access-list inside_access_in deny tcp any any
access-list inside_access_in deny udp any any
access-list inside_access_in deny icmp any any
access-list inside_access_in deny ip any any

...was meist du mit

Zitat:

Was ich zB nicht kann, ist die PIX als Gateway zu nehmen, das lässt sie mich nicht!

gruss
jorge

[JoergStueger]

quote:
--------------------------------------------------------------------------------
Was ich zB nicht kann, ist die PIX als Gateway zu nehmen, das lässt sie mich nicht!
--------------------------------------------------------------------------------


ich mein damit, dass interne Clients ja über die PIX raus ja zB surfen können müssten, oder?

LG
Jörg