Pagina 1 di 1
problemi port forwarding pix 501
Inviato: mar 28 nov , 2006 11:59 am
da rrroberto
succede qualcosa di strano quando faccio il port forwarding verso un server smtp che ho nella mia lan.
io ho messo questi comandi:
Codice: Seleziona tutto
static (inside,outside) tcp interface smtp 192.168.1.240 smtp netmask 255.255.255.255 0 0
access-list mail-server permit tcp any interface outside eq smtp
access-group mail-server in interface outside
non da errori, ma se dall'esterno provo a collegarmi in telnet sulla porta 25 mi esce fuori qualcosa che ricorda la risposta di un server smtp ma pieno di asterischi e che non accetta comandi.
io penso che:
o è sbagliata la redirezione che ho fatto io
oppure c'è una qualche codifica o qualcosa che avviene... boh!
ovviamente se mi connetto via lan al mio smtp funziona tutto correttamente.
grazie a tutti
Roberto
Inviato: mar 28 nov , 2006 12:49 pm
da Wizard
static (inside,outside) tcp IP_PUbblico 25 IP_Interno 25 netmask 255.255.255.255
La ACL va bene!
Per il resto prova levare il fixup per l' smtp
Inviato: mar 28 nov , 2006 2:13 pm
da rrroberto
anche lo static andava bene, in effetti è bastato tirare via il fixup per l'smtp!
grazie!
in verità, sapresti spiegarmi qual è l'azione del fixup protocol?
grazie
Roberto
Inviato: mar 28 nov , 2006 2:31 pm
da Wizard
I fixup dei Cisco PIX Firewall, hanno principalmente due funzioni:
1) Rendere piu sicuri alcuni servizi limitandone i comandi (vedi SMTP)
2) Gestire protocolli Multisessione, andando a riscrivere il payload del
pacchetto dove serve, e creando aperture dinamiche.
Sono essenzialmente un sunto delle CBAC( Context-based access lists, aka
ip inspect) dell' IOS/IP/FW ma funzionano peggio.
Se cerchi su bugtraq, potrai trovare alcuni miei advisor sul cattivo
funzionamento dei vari fixup su PIX (in giornata dovrei poter testare le
CBAC di IOS/IP/FW 12.1.4) .
La loro funzione e' spiegata nel command reference anche se non vengono
dati grandi dettagli che puoi comunque studiare abilitando il "debug fixup
tcp" sul pix, e stabilendo sessioni che li attivano .
http://www.sikurezza.org/ml/10_00/msg00089.html
Inviato: mar 28 nov , 2006 3:47 pm
da rrroberto
quindi disattivandolo demando semplicemente, come sarebbe normale, tutti i controlli al server smtp?
ok. non è un problema.
il fatto che venissero fuori tutti asterischi quindi era un bug suo immagino?
grazie
ciao
Roberto
Inviato: mar 28 nov , 2006 3:59 pm
da Wizard
Non è un bug, il fixup, come sua regola di protezione, blocca anche il banner.
Se non ce la hai già metti la ultima IOS 6.3.5
Inviato: mar 28 nov , 2006 4:12 pm
da rrroberto
uhm. corretto. hai ragione. infatti mi lasciava vedere solo 220 e il resto lo ateriscava.
però è anche vero che non mi consentiva di passare i comandi al server.
Inviato: mar 28 nov , 2006 4:23 pm
da Wizard
Sulla versione 6.3.x del PIX non è possibile scegliere i comandi che possono o no passare dal firewall verso il server di posta mentre con la versione 7 si.
La versione 7 però non esiste x i pix 501 ma solo x i PIX515, 525 e 535 e ASA.
Inviato: mar 28 nov , 2006 4:30 pm
da rrroberto
va bene. non dico che mi sono fatto un quadro preciso ora ma ho sufficienti spunti per studiare nella direzione giusta.
ti ringrazio molto intanto
ciao
Roberto
Inviato: mar 28 nov , 2006 4:46 pm
da Wizard
Se può chiarirti meglio le idee:
Usage Guidelines
The fixup protocol commands let you view, change, enable, or disable the use of a service or protocol through the PIX Firewall. The ports you specify are those that the PIX Firewall listens at for each respective service. You can change the port value for every service except rsh. The fixup protocol commands are always present in the configuration and are enabled by default.
The fixup protocol command performs the Adaptive Security Algorithm based on different port numbers other than the defaults. This command is global and changes things for both inbound and outbound connections, and cannot be restricted to any static command statements.
cisco.com