[NAT + ACL] Port forward per un servizio [PIX501]

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
Pictor
n00b
Messaggi: 9
Iscritto il: mar 07 ott , 2008 11:08 am

Ciao,

la domanda è trita e ritrita, ma non riesco a capire cosa sbaglio prendendo spunto dai post che trovo (in italiano e in inglese).

Ho una rete al cui interno è presente un PC con un server MySQL (192.168.10.20).
La connessione DSL con l'esterno è gestita con un Firewall PIX 501.

Quali sono i comandi per implementare un port forward delle connessioni sull'interfaccia esterna, alla porta 3306, redirezionandole verso il Server MySQL, sempre sulla porta 3306?

Ho provato con il PDM .....e non funziona.

Ho provato tramite command line .....e non funziona.

Codice: Seleziona tutto

static (inside, outside) tcp interface 3306 192.168.10.20 3306 netmask 255.255.255.255 0
access-list mysql_to_inside permit tcp interface outside 192.168.10.20 255.255.255.255 eq 3306
Eppure se vado su Check port mi dice che la porta è chiusa.

Cosa sbaglio?
Come faccio a controllare se il pacchetto di test della porta almeno raggiunge il firewall? (per escludere blocchi dal modem ADSL o dal provider)


Grazie


PS - Oltretutto è veramente scomodo che se aggiungo qualche entry tramite command line non appaia niente di corrispondente sul PDM.
C'è modo di sopperire a questa mancanza?
Top
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:
Contatta zot

Butta via quella zozzeria di PDM......

Codice: Seleziona tutto

static (inside, outside) tcp interface 3306 192.168.10.20 3306 netmask 255.255.255.255 
access-list outside_access_in extended permit tcp any interface outside eq 3306 log
access-group outside_access_in in interface outside
per testare il tutto basta che fai dall'esterno telnet IPPUBBLICO_PIX 3306

P.S. non e' una grande idea aprire un DB al mondo he :roll:
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?

http://www.zotbox.net
Top
Pictor
n00b
Messaggi: 9
Iscritto il: mar 07 ott , 2008 11:08 am

zot ha scritto:Butta via quella zozzeria di PDM......
Eh lo so ma la sintassi non la capisco appieno....

Piuttosto è una delusione vedere che il PDM è talmente arretrato che non mostra neanche le entry effettuate da shell.
Che è la cosa che mi preoccupa di più.... (tra 5 anni mi ricordero di aver fatto quella entry "a mano" invece che tramite PDM?).

Codice: Seleziona tutto

static (inside, outside) tcp interface 3306 192.168.10.20 3306 netmask 255.255.255.255
Allora, la prima 3306 è la porta di destinazione sulla rete locale. La seconda 3306 è la porta di origine?
O il contrario?
Io non la capisco la sintassi di quel comando: perché tra partentesi mette prima inside e poi outside, e poi invece specifica prima l'outside invece dell'inside?
Per me è astruso...

Se volessi redirezionare dalla 3306 di origine alla 2310 di destinazione?....

Codice: Seleziona tutto

access-list outside_access_in extended permit tcp any interface outside eq 3306 log
access-group outside_access_in in interface outside
per testare il tutto basta che fai dall'esterno telnet IPPUBBLICO_PIX 3306

P.S. non e' una grande idea aprire un DB al mondo he :roll:
Lo so.... infatti penso mi ci metto un webservice dietro.
Per creare una DMZ adesso tribolo troppo...... almeno a tirarla su fisicamente.
A livello logico non so cosa dovrei impostare.
Inoltre il PC col DB e il webservice in DMZ dovrebbe pure essere accessibile dalla rete locale.... come faccio a dargli questa possibilità?
Un sistemista mi ha parlato di "exception rules"..... :shock: :?:
Top
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:
Contatta zot

Codice: Seleziona tutto

static (inside, outside) tcp interface 3306 192.168.10.20 3306 netmask 255.255.255.255
La porta sorgente nessuno puo' conoscerla perche' e' una a "caso" dalla 1024 in su.....semplicemente con quel comando dici d'inoltrare le richieste provenienti dalla interfaccia outside con porta destinazione 3306 sull'host 192.168.10.20 sempre con porta di destinazine 3306.
Se avessi messo in ascolto mysql del tuo server sulla 2130 avresti potuto scrivere

Codice: Seleziona tutto

static (inside, outside) tcp interface 3306 192.168.10.20 2130 netmask 255.255.255.255
Ma solitamente si fa il contrario,si cambia la porta standard d'ascolto sull'interfaccia pubblica (per evitare almeno gli atacchi "automatici").
Per quanto riguarda DMZ non e' un problema,trovi post a tonnellate,prova e se hai problemi posta pure.
Ribadisco,se pubblichi direttamente un DB ,prima o poi,avrai sicuramente problemi e dovrai preoccuparti di fare hardening spinto sulla macchina che tiene su in DB.
L'unica GUI "decente" di Cisco e' ASDM per ASA,tutto il resto e' meglio non usarlo.
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?

http://www.zotbox.net
Top
Rispondi

Torna a “Configurazioni”