Pagina 1 di 3
Pix 501 e IP Pubblico
Inviato: ven 28 lug , 2006 9:59 am
da rleoni
Buongiorno a tutti.
Il problema è il seguente:
Ho un firewall Pix 501 e un router 1800.
Ho la necessità di raggiungere dall'esterno una macchina interna della Lan e per far questo pensavo di utilizzare uno degli indirizzi ip pubblici non ancora utilizzati.
Ho provato a configurare il tutto, ma non ragiungo l'indirizzo ip pubblico scelto.
Allego i file di configurazione del pix, del router e la tabella degli indirizzi pubblici.
Cordiali Saluti.
Inviato: mar 01 ago , 2006 5:01 pm
da chatts73
anche io mi trovo nella stessa situazione...
name 192.168.1.101 AS400
static (inside,outside) as400 <ip pubblico> netmask 255.255.255.255 0 0
ma non mi succede niente...
Inviato: mer 02 ago , 2006 8:44 am
da cisketto
X rleoni : Secondo me hai assegnato male gli IP alle interfacce del tuo fw
X Chatts73 : Le acl le hai inserite?
Ciao a tutti,
Cisketto!
Inviato: mer 02 ago , 2006 9:57 am
da chatts73
Le acl....
access-list outside_access_in permit tcp host saspix host as400_pubblico eq ftp
access-list outside_access_in permit tcp host saspix host as400_pubblico eq ftp-data
access-list outside_access_in permit tcp host saspix host as400_pubblico eq telnet
access-list outside_access_in permit icmp any any echo-reply
io ho messo solo queste..
Inviato: mer 02 ago , 2006 2:34 pm
da cisketto
aspè!!!
static (inside,outside) as400 <ip pubblico> netmask 255.255.255.255 0 0
questa è sbagliata!!
La statica funziona così:
static (secure_net, unsecure_net) unsecure_ip secure_ip netnask .....
quindi tu dovresti fare
static (inside, outside) <Ip_pubblico> <Ip_privato> netmask 255.255.255.255 0 0
Oltretutto,
as400_pubblico è settato nei name?
Dovrebbe conicidere con l'interfaccia del pix o almeno un ip pubblico...
Prova a lavora senza i names...
se tutto funziona poi puoi fare tutte le sostituzioni che vuoi...
Ricorda che per permettere l'accesso dall'esterno avrai sempre bisogno di solo 2 cose:
una statica
una acl
il resto è superfluo...
Ciao,
Cisketto!
Inviato: mer 02 ago , 2006 2:48 pm
da chatts73
grazie ora provo..
Inviato: mer 02 ago , 2006 3:37 pm
da chatts73
ho messo come mi hai indicato...ma l'ftp non funge...
access-list outside_access_in permit icmp any any echo-reply
access-list outside_access_in permit tcp host 81.115.170.yyy host 85.39.96.xxx eq ftp
access-list outside_access_in permit tcp host 81.115.170.yyy host 85.39.96.xxx eq ftp-data
static (inside,outside) 85.39.96.xxx 194.0.0.1 netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
provo da cmd il comando ftp 85.39.96.xxx ma niente da fare...il ping funziona
Inviato: mer 02 ago , 2006 3:39 pm
da chatts73
ps..
quel 194.0.0.1 in realtà è 192.168.1.101
ho sbagliato a ricopiare
Inviato: mer 02 ago , 2006 4:00 pm
da cisketto
ora non ricordo l'associazione ftp-data -> numero porta e ftp->numero porta, però di solito io uso il range e non eq per l'ftp....
in pratica una sola acl del tipo:
access-list outside_access_in permit tcp host 81.115.170.yyy host 85.39.96.xxx range ftp-data ftp
altra cosa:
sei sicuro che il tuo pc si presenti sull'outside del fw con un ip della classe 81.115.170.0/24 (che è cmq grande!)?
Prova a controllare le hit sulle acl e verificare che aumentino quando fai i tentativi...
al massimo attiva qualche debug e guarda cosa succede....
Ps: il servizio FTP funziona correttamente su quel server se provi a collegarti da un pc interno alla Lan?
Ciao,
Cisketto!
Inviato: mer 02 ago , 2006 4:22 pm
da chatts73
molto probabilmente ci sono delle acl sul router che bloccano...
comunque io andando su
www.ilmioip.it esco con quell'indirizzo..
inoltre da dentre la lan del server as400 l'ftp funziona bene...
Inviato: mer 02 ago , 2006 4:39 pm
da cisketto
Beh dovresti riuscire a vedere la config del router per capire se passi o meno....
però se le hitcount dell'acl non aumentano vuol dire che sul fw non ci arrivi...
Inviato: mer 02 ago , 2006 4:46 pm
da chatts73
--off topic--
aaahhhh
una zanzara mi ha massacrato!!!!!
ps..
hitacl??come faccio da ignorante a capire come si vedono?
Inviato: gio 03 ago , 2006 8:16 am
da cisketto
fai uno "sh access-list outside_access_in"
ti fa vedere tutte le righe di quell'acl ed alla fine di ugnuna tra parentesi ti dice il conto delle hitcount....
Inviato: gio 03 ago , 2006 9:08 am
da chatts73
pix501????# sh access-list outside_access_in
access-list outside_access_in; 3 elements
access-list outside_access_in line 1 permit icmp any any echo-reply (hitcnt=16)
access-list outside_access_in line 2 permit tcp host 81.115.170.yyy host 85.39.96.xxx eq ftp (hitcnt=0)
access-list outside_access_in line 3 permit tcp host 81.115.170.yyy host 85.39.96.xxx eq ftp-data (hitcnt=0)
quindi?? che dici
Inviato: gio 03 ago , 2006 10:20 am
da cisketto
(hitcnt=0) => Non arrivi al firewall...
o ci arrivi nattato dal router......
dovresti fare unpò di debug e vedere cosa vede il firewall (se vede qualcosa) quando provi a connetterti dall'esterno...