Pagina 1 di 1
PIX 501, bloccare le porte
Inviato: mer 16 nov , 2005 6:08 pm
da tecnicola
Ciao a tutti,
ho un problema con un cisco PIX501, io dovrei bloccare tutte le porte sul firewall tranne la 80 per internet e la 110 e 35 per la posta elettronica,
ora ho gia visto la guida su IT BLOG ma non mi trovo con la sintassi,
non ci sto più capendo niente,
Su IT BLOG la sintassi é:
access-list 105 permit TCP 192.168.0.0 0.0.0.255 any eq 80
access-list 105 permit ICMP 192.168.0.0 0.0.0.255 host 80.80.80.80 echo
access-list 105 deny IP any any
IL MIO FIREWALL DA
global (outside) 10 interface
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1
Inviato: gio 17 nov , 2005 12:25 am
da andrewp
Prendi un respiro...dicci l'indirizzamento interno della LAN, gli host che vuoi far passare, l'indirizzo pubblico.
Ciao.
Inviato: gio 17 nov , 2005 3:18 pm
da tecnicola
Ciao,
io dovrei far passare un gruppo di utenti, ma tanto per iniziare mi accontento di uno,
indirizzo della lan é 192.168.0.23
l'indirizzo del pix é 192.168.0.1
l'indirizzo dell'outside del pix è 192.168.1.2
grazie mille
siete dei grandi
Inviato: gio 17 nov , 2005 3:36 pm
da andrewp
tecnicola ha scritto:l'indirizzo del pix é 192.168.0.1
l'indirizzo dell'outside del pix è 192.168.1.2
Ti stai confondendo, non possono essere sulla stessa rete, comunque a te basta aggiungere solo questo:
access-list 105 permit TCP 192.168.0.0 0.0.0.255 any eq 80
access-list 105 permit TCP 192.168.0.0 0.0.0.255 any eq 25 (25 è smtp...)
access-list 105 permit TCP 192.168.0.0 0.0.0.255 any eq 110
Inviato: gio 17 nov , 2005 4:19 pm
da tecnicola
ciao,
in che senso non possono essere sulla stessa rete?
comunque , io ho inserito in hyper terminal la prima access list e mi da il seguente errore:
ERROR: Source address,mask <192.168.0.0,0.0.0.255> doesn't pair
grazie
Inviato: gio 17 nov , 2005 7:56 pm
da andrewp
Dimenticavo....il pix non utilizza le wildcard mask, quindi sono:
access-list 105 permit TCP 192.168.0.0 255.255.255.0 any eq 80
access-list 105 permit TCP 192.168.0.0 255.255.255.0 any eq 25
access-list 105 permit TCP 192.168.0.0 255.255.255.0 any eq 110
Ciao.
Inviato: gio 17 nov , 2005 7:59 pm
da MaiO
Ma insiede e outside sulla stessa subnet???? Hmmmmm.....
A cosa server sto FW????
Ciao
Inviato: ven 18 nov , 2005 9:30 am
da tecnicola
ciao,
comprendo il tuo stupore, ora ti spiego in 2 parole la rete, a monte c'è un cisco 3600 di fastweb che oltre alla navigazione internet smista pure X linee telefoniche ed é intoccabile.
Per la rete mi hanno dato indirizzo 192.68.0.x ora i tizi della rete mi hanno detto di mettere un Firewall "per il discorso sicurezza" ed io ho optato per un PIX 501,
cmq ora provo i suggerimenti che mi avete dato e vi faccio sapere
ciao
e grazie a tutti
Inviato: ven 18 nov , 2005 10:35 am
da MaiO
netkiller ha scritto:MaiO ha scritto:Ma insiede e outside sulla stessa subnet???? Hmmmmm.....
A cosa server sto FW????
Ciao
mmmmm.....riguardati il subnetting
192.168.0.0/24 e 192.168.1.0/24 non sono la stessa subnet.
Matteo
Ehhh, è la stanchezza... uno che ci può fare, i dettagli importanti sfuggono dopo 12 ore di lavoro continuo e 70 in una settimana.
Purtroppo...
Inviato: ven 18 nov , 2005 10:45 am
da tecnicola
GRAZIE A TUTTI!!!
MI AVETE SALVATO!!!1
FUNZIONA TUTTO, AVEVATE RAGIONE PER LE SUBNET ERA QUELLO IL MOTIVO D'ERRORE
grazie!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!