Buongiorno a tutti.
Il problema è il seguente:
Ho un firewall Pix 501 e un router 1800.
Ho la necessità di raggiungere dall'esterno una macchina interna della Lan e per far questo pensavo di utilizzare uno degli indirizzi ip pubblici non ancora utilizzati.
Ho provato a configurare il tutto, ma non ragiungo l'indirizzo ip pubblico scelto.
Allego i file di configurazione del pix, del router e la tabella degli indirizzi pubblici.
Cordiali Saluti.
Pix 501 e IP Pubblico
Moderatore: Federico.Lagni
-
chatts73
- Cisco fan
- Messaggi: 30
- Iscritto il: lun 19 giu , 2006 11:06 am
Le acl.... 
access-list outside_access_in permit tcp host saspix host as400_pubblico eq ftp
access-list outside_access_in permit tcp host saspix host as400_pubblico eq ftp-data
access-list outside_access_in permit tcp host saspix host as400_pubblico eq telnet
access-list outside_access_in permit icmp any any echo-reply
io ho messo solo queste..
access-list outside_access_in permit tcp host saspix host as400_pubblico eq ftp
access-list outside_access_in permit tcp host saspix host as400_pubblico eq ftp-data
access-list outside_access_in permit tcp host saspix host as400_pubblico eq telnet
access-list outside_access_in permit icmp any any echo-reply
io ho messo solo queste..
-
cisketto
- Cisco pathologically enlightened user
- Messaggi: 178
- Iscritto il: mar 20 dic , 2005 12:02 pm
- Località: Milano
aspè!!!
static (inside,outside) as400 <ip pubblico> netmask 255.255.255.255 0 0
questa è sbagliata!!
La statica funziona così:
static (secure_net, unsecure_net) unsecure_ip secure_ip netnask .....
quindi tu dovresti fare
static (inside, outside) <Ip_pubblico> <Ip_privato> netmask 255.255.255.255 0 0
Oltretutto,
as400_pubblico è settato nei name?
Dovrebbe conicidere con l'interfaccia del pix o almeno un ip pubblico...
Prova a lavora senza i names...
se tutto funziona poi puoi fare tutte le sostituzioni che vuoi...
Ricorda che per permettere l'accesso dall'esterno avrai sempre bisogno di solo 2 cose:
una statica
una acl
il resto è superfluo...
Ciao,
Cisketto!
static (inside,outside) as400 <ip pubblico> netmask 255.255.255.255 0 0
questa è sbagliata!!
La statica funziona così:
static (secure_net, unsecure_net) unsecure_ip secure_ip netnask .....
quindi tu dovresti fare
static (inside, outside) <Ip_pubblico> <Ip_privato> netmask 255.255.255.255 0 0
Oltretutto,
as400_pubblico è settato nei name?
Dovrebbe conicidere con l'interfaccia del pix o almeno un ip pubblico...
Prova a lavora senza i names...
se tutto funziona poi puoi fare tutte le sostituzioni che vuoi...
Ricorda che per permettere l'accesso dall'esterno avrai sempre bisogno di solo 2 cose:
una statica
una acl
il resto è superfluo...
Ciao,
Cisketto!
-
chatts73
- Cisco fan
- Messaggi: 30
- Iscritto il: lun 19 giu , 2006 11:06 am
ho messo come mi hai indicato...ma l'ftp non funge...
access-list outside_access_in permit icmp any any echo-reply
access-list outside_access_in permit tcp host 81.115.170.yyy host 85.39.96.xxx eq ftp
access-list outside_access_in permit tcp host 81.115.170.yyy host 85.39.96.xxx eq ftp-data
static (inside,outside) 85.39.96.xxx 194.0.0.1 netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
provo da cmd il comando ftp 85.39.96.xxx ma niente da fare...il ping funziona
-
cisketto
- Cisco pathologically enlightened user
- Messaggi: 178
- Iscritto il: mar 20 dic , 2005 12:02 pm
- Località: Milano
ora non ricordo l'associazione ftp-data -> numero porta e ftp->numero porta, però di solito io uso il range e non eq per l'ftp....
in pratica una sola acl del tipo:
access-list outside_access_in permit tcp host 81.115.170.yyy host 85.39.96.xxx range ftp-data ftp
altra cosa:
sei sicuro che il tuo pc si presenti sull'outside del fw con un ip della classe 81.115.170.0/24 (che è cmq grande!)?
Prova a controllare le hit sulle acl e verificare che aumentino quando fai i tentativi...
al massimo attiva qualche debug e guarda cosa succede....
Ps: il servizio FTP funziona correttamente su quel server se provi a collegarti da un pc interno alla Lan?
Ciao,
Cisketto!
in pratica una sola acl del tipo:
access-list outside_access_in permit tcp host 81.115.170.yyy host 85.39.96.xxx range ftp-data ftp
altra cosa:
sei sicuro che il tuo pc si presenti sull'outside del fw con un ip della classe 81.115.170.0/24 (che è cmq grande!)?
Prova a controllare le hit sulle acl e verificare che aumentino quando fai i tentativi...
al massimo attiva qualche debug e guarda cosa succede....
Ps: il servizio FTP funziona correttamente su quel server se provi a collegarti da un pc interno alla Lan?
Ciao,
Cisketto!
-
chatts73
- Cisco fan
- Messaggi: 30
- Iscritto il: lun 19 giu , 2006 11:06 am
molto probabilmente ci sono delle acl sul router che bloccano...
comunque io andando su www.ilmioip.it esco con quell'indirizzo..
inoltre da dentre la lan del server as400 l'ftp funziona bene...
comunque io andando su www.ilmioip.it esco con quell'indirizzo..
inoltre da dentre la lan del server as400 l'ftp funziona bene...
-
chatts73
- Cisco fan
- Messaggi: 30
- Iscritto il: lun 19 giu , 2006 11:06 am
pix501????# sh access-list outside_access_in
access-list outside_access_in; 3 elements
access-list outside_access_in line 1 permit icmp any any echo-reply (hitcnt=16)
access-list outside_access_in line 2 permit tcp host 81.115.170.yyy host 85.39.96.xxx eq ftp (hitcnt=0)
access-list outside_access_in line 3 permit tcp host 81.115.170.yyy host 85.39.96.xxx eq ftp-data (hitcnt=0)
quindi?? che dici
access-list outside_access_in; 3 elements
access-list outside_access_in line 1 permit icmp any any echo-reply (hitcnt=16)
access-list outside_access_in line 2 permit tcp host 81.115.170.yyy host 85.39.96.xxx eq ftp (hitcnt=0)
access-list outside_access_in line 3 permit tcp host 81.115.170.yyy host 85.39.96.xxx eq ftp-data (hitcnt=0)
quindi?? che dici
-
cisketto
- Cisco pathologically enlightened user
- Messaggi: 178
- Iscritto il: mar 20 dic , 2005 12:02 pm
- Località: Milano
(hitcnt=0) => Non arrivi al firewall...
o ci arrivi nattato dal router......
dovresti fare unpò di debug e vedere cosa vede il firewall (se vede qualcosa) quando provi a connetterti dall'esterno...
o ci arrivi nattato dal router......
dovresti fare unpò di debug e vedere cosa vede il firewall (se vede qualcosa) quando provi a connetterti dall'esterno...
