CiscoForums.it

Ciao a tutti,
premetto che non conosco molto del mondo Cisco,
Ho un firewall Cisco px501 e volevo riuscire ad parire una porta per indirizzarla al server di posta.

Sono abituato con i router o firewall normali, ma mi pare di aver capito che con i Cisco bisogna collegarsi tramite un cavo seriale e aprire una connessione. giusto?...eventualmente esiste un'interfaccia grafica per la configurazione?...e come faccio per accederci?

Eventualmente dovendomi collegare con un cavo seriale...come faccio a configurarlo?

Graciesss in antcipo

https:\\IP_INTERNO_FW

sempre che l'accesso al SDM sia configurato...

Senò puoi sempre collegarti in telnet o ssh (bisogna sempre vedere come sono gestiti questi accessi...)

infatti...
eventualmente per accedere tramite telent mi pare di aver capito si possa utilizzare Putty, esatto?
Per configurarlo...o comunque per accederci in modalità https:// posso farlo da qualsiasi pc collegato nella rete...o devo collegarmi con un pc su qualche porta particolare? Mentre per collegarmi in telent basta un cavo cross collegato ad una delle uscite del router??

Volevo capire eventualmente...una volta stabilito il collegamento tramite telnet (se ci sono guide online su come effettuare il collegamento me le segnalate?)...quali sono i passaggi per nattare le porte?

rieccomi...ho letto un pò di informazioni tra qui e quello che ho trovato in rete.

Ora ho qualche dubbio in più, da quello che ho capito nel firewall ci sono varie interfaccie, quelle d'ingresso e quelle d'uscita.
Non capisco cosa si intende per interfaccie (forse le le uscite ethernet ?)

Se devo reinderizzare una porta (Es la 3800) su un pc specifico (es. 192.168.1.10)...come faccio a decidere quale interfaccia usare??....e come le configuro?

Vuoi un consiglio...?!

Se non ne sai nulla lascia perdere perchè Cisco non è x tutti!

O ti metti a studiare almeno le basi oppure chiedi ad una azienda specializzata.

malfidente!

ehehe...dopo molte e molte letture sono riuscito ad accedere alla mo pix e ad abilitare la parte grafica.

ho fatto qualche prova...
praticamente devo fare una semplice nat

ho un ip statico esterno 88.88.88.88 e vorrei aprire le porte 111 e 112 verso il pc (che fà da server) 192.168.1.10

ho provato attraverso l'interfaccia grafica ma senza risultati...ho provato anche da linea di comando ma anche li sembra che ci sia qualcosa che non vada...posto il mio primo!!!! show running

PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password *********** encrypted
passwd ******** encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol sk
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
name 192.9.200.52 web_dentro
name 555.555.555.555 web_fuori
access-list acl_out permit icmp any any
access-list acl_out permit tcp any any
access-list acl_out permit udp any any
access-list 9.200 permit ip 192.9.200.0 255.255.255.0 192.168.10.0 255.255.255.0

access-list 9.200 permit ip host 192.9.200.110 host 666.666.666.666
access-list accessoweb permit tcp any host web_fuori eq www
access-list accessoweb permit tcp any host web_fuori eq ssh
access-list accessoweb permit tcp any host web_fuori eq https
access-list rentrap_from_in permit tcp any host web_dentro eq www
pager lines 24
logging on
logging monitor errors
logging buffered warnings
logging trap warnings
logging history errors
logging host inside web_dentro
mtu outside 1500
mtu inside 1500
ip address outside 111.111.111.111 255.255.255.248
ip address inside 192.9.200.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
ip local pool ippool 192.168.254.1-192.168.254.254
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 222.222.222.222-333.333.333.333
global (outside) 1 777.777.777.777
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) web_fuori web_dentro netmask 255.255.255.255 0 0
access-group accessoweb in interface outside
access-group acl_out in interface inside
route outside 0.0.0.0 0.0.0.0 444.444.444.444 0
route inside 192.9.202.0 255.255.255.0 192.9.200.1 1
route inside 192.9.203.0 255.255.255.0 192.9.200.1 1
route inside 192.9.204.0 255.255.255.0 192.9.200.1 1
route inside 192.9.206.0 255.255.255.0 192.9.200.1 1
route inside 192.9.207.0 255.255.255.0 192.9.200.1 1
route inside 192.168.12.0 255.255.255.0 192.9.200.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
aaa-server partnerauth protocol radius
aaa-server partnerauth (inside) host 192.9.200.50 ********** timeout 5
http server enable
http 192.168.1.0 255.255.255.0 inside
snmp-server host inside web_dentro poll
snmp-server location sedecentrale
snmp-server contact [email protected]
snmp-server community minome
no snmp-server enable traps
floodguard enable
crypto ipsec transform-set myset esp-des esp-md5-hmac
crypto ipsec transform-set strong esp-des esp-sha-hmac
crypto dynamic-map dynmap 10 set transform-set myset
crypto map pgnpd 10 ipsec-isakmp dynamic dynmap
crypto map pgnpd 20 ipsec-isakmp
crypto map pgnpd 20 match address 9.200
crypto map pgnpd 20 set peer 666.666.666.666
crypto map pgnpd 20 set transform-set strong
crypto map pgnpd client authentication partnerauth
crypto map pgnpd interface outside
telnet 192.9.200.0 255.255.255.0 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum***********
: end
ciscopix#

rieccomi....forse sono riuscito a trovare la soluzione (solo teorica per ora in quanto stò cercando di capire esattamente il funzionamento)

volevo chidervi un chiarimento prima...quando utilizzare, il global e static. In quanto ho letto varie guide ma alcune cose non mi tornano.
Poi nelle guide viene spiegato come impostare il nat tra l'indirizzo esterno e quello interno..e mi par di aver capito che bisogna utilizzare una access list per indicare la porta esatto?

un esempio per capirmi
indirizzo pubblico 88.23.45.76
indirizzo server di posta interno 192.168.1.20
porta 110 e la 111

static (inside, outside) 88.23.45.76 192.168.1.20 netmask 255.255.255.255
0 0
access-list accessoposta permit tcp any host 88.23.45.76 eq 110

è esatto?

mi rimane ancora da capire i due zeri finali (che dovrebbero essere l'abbreviazione di 0.0.0.0) e delle netmask

static (inside, outside) 88.23.45.76 192.168.1.20 netmask 255.255.255.255 0 0

access-list accessoposta permit tcp any host 88.23.45.76 eq 110

è esatto?

Si, la regola di nat per pubblicare pop3 è giusta!
"accessoposta" è associata alla int outside?

no..non è associata a nulla...eventualmente (vedendo la configurazione postata in precendeza) come dovrei aggiungerla?

Tutte le acl che permettono traffico da internet devono essere nel access-group "accessoweb" come dice questa riga:

access-group accessoweb in interface outside