CiscoForums.it

Cisco Users Group
https://www.ciscoforums.it/

Aiuto configurazione PIX 501

https://www.ciscoforums.it/viewtopic.php?f=10&t=8756

Pagina 1 di 1

Aiuto configurazione PIX 501

Inviato: gio 24 apr , 2008 3:13 pm
da crsoft
Salve a tutti,
in aziende abbiamo da poco acquistato un Cisco Pix 501 per sostituire un ingombrante firewall linux. In un'altra azienda ho configurato un netscreen senza grosse difficoltà ma in questo caso ho incontrato alcuni problemi. Spero possiate aiutarmi! QUesta è la situazione:

Router Fastweb ip 192.168.0.100
Pix 501
Rete interna 192.168.1.x

Configurando in questo modo le interfacce:

inside 192.168.1.101 (gateway dei pc della lan)
outside 192.168.0.103
gateway 192.168.0.100

i pc riescono a navigare e in internet correttamente.

Abbiamo però la necessità di far accedere un pc esterno (85.42.xxx.xxx) ad un pc della rete interna per servizi di ftp.

Ho provato i seguenti comandi:

static (inside, outside) 85.42.xxx.xxx 192.168.1.13
access-list 101 permit icmp any any
access-list 101 permit tcp host 85.42.xxx.xxx host 192.168.1.13 eq www
access-list 101 permit tcp host 85.42.xxx.xxx host 192.168.1.13 eq ftp
access-group 101 in interface outside

ma non sembra funzionare alcunchè.

Potete darmi un aiuto?

Grazie mille

Marco

Riporto la configurazione attuale:

PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxxxx encrypted
passwd xxxx encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 192.168.1.13 Daniele
access-list 110 permit icmp any any
access-list 102 permit icmp any any
access-list 102 permit tcp host 85.42.xxx.xxx host Daniele eq www
access-list 102 permit tcp host 85.42.xxx.xxx host Daniele eq ftp
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.168.0.3 255.255.255.0
ip address inside 192.168.1.101 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location Daniele 255.255.255.255 inside
pdm location 85.42.xxx.xxx 255.255.255.255 outside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 85.42.xxx.xxx Daniele netmask 255.255.255.255 0 0
access-group 102 in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.0.3 1
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.102-192.168.1.133 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
terminal width 80
Cryptochecksum:bee45803b1ee972edf4636828b95fb4e
: end
[OK]

???

Inviato: dom 27 apr , 2008 4:48 pm
da crsoft
qualcuno può darmi un'indicazione utile?

grazie

Inviato: lun 28 apr , 2008 9:56 am
da Wizard
Sicuro che fastweb non debba configurare il nat anche sul suo router?

Inviato: lun 28 apr , 2008 9:58 am
da Wizard
access-list 102 permit tcp host 85.42.xxx.xxx host Daniele eq www
access-list 102 permit tcp host 85.42.xxx.xxx host Daniele eq ftp
Vanno rifatte mettendo come ip di destinazione l'ip pubblico (quello nella regola di nat) e non l'ip privato!

Chiarimento

Inviato: lun 28 apr , 2008 1:05 pm
da crsoft
Innanzitutto grazie milel per la risposta.

Cerco di capire:
Ho impostato il nat in questo modo:

static (inside, outside) 85.42.xxx.xxx 192.168.1.13

Dall 'ip del pc della sede esterna all'ip del pc della rete protetta dal pix.

Le access-list sono queste:
access-list 101 permit tcp host 85.42.xxx.xxx host 192.168.1.13 eq www
access-list 101 permit tcp host 85.42.xxx.xxx host 192.168.1.13 eq ftp

Tu dici di sostituire il 192.168.1.13 con l'ip pubblico? L'ip con il quale esco navigando in internet?

Scusa ma è la prima volta che maneggio un cisco...

Grazie

Inviato: mar 29 apr , 2008 11:24 am
da Wizard

Codice: Seleziona tutto

no access-list 101 permit tcp host 85.42.xxx.xxx host 192.168.1.13 eq www
no access-list 101 permit tcp host 85.42.xxx.xxx host 192.168.1.13 eq ftp 

access-list 101 permit tcp host 85.42.xxx.xxx host 85.42.xxx.xxx eq www
access-list 101 permit tcp host 85.42.xxx.xxx host 85.42.xxx.xxx eq ftp

Non funziona

Inviato: gio 08 mag , 2008 11:00 am
da crsoft
Eccomi di nuovo. Ho provato i vostri suggerimenti ma continua a non funzionare.

Provo a spiegare meglio, ho avuto alcune delucidazioni da Fastweb.

Situazione:

Router Fastweb ip 192.168.0.100
FASTWEB dice che il router è configurato in modo da nattare ciò che entra sul 192.168.0.101
Pix 501
Rete interna 192.168.1.x

Configurando in questo modo le interfacce:

inside 192.168.1.101 (gateway dei pc della lan)
outside 192.168.0.101
gateway 192.168.0.100

i pc riescono a navigare e in internet correttamente.

Abbiamo però la necessità di far accedere un pc esterno (85.42.xxx.xxx) ad un pc della rete interna per servizi di ftp.

Ho provato i seguenti comandi, cone le modifiche che mi avete indicato:

static (inside, outside) 85.42.xxx.xxx 192.168.1.13
access-list 101 permit icmp any any
access-list 101 permit tcp host 85.42.xxx.xxx host 85.42.xxx.xxx eq www
access-list 101 permit tcp host 85.42.xxx.xxx host 85.42.xxx.xxx eq ftp
access-group 101 in interface outside


ma continuo a non riuscire ad entrare via ftp.
Non mi sembra un contesto così complicato, con il Netscreen ci ho messo 5 minuti! Lo so che Cisco è più "basso livello" ma non riesco a trovare una via d'uscita.

Potete darmi qualche indicazione?

Grazie

Inviato: ven 09 mag , 2008 9:48 am
da Wizard
Se fastweb natta tutto sul ip della int outside del pix devi fare così:

- crei n static con la quale fai dei port forwarding sul ip della outside (facile no?!)

- crei delle acl con ip sorgente any e destinazione any porta 21

bene

Inviato: ven 09 mag , 2008 2:01 pm
da crsoft
grazie della risposta.

puoi farmi un velocissimo esempio pratico?

così almeno ho una base che funziona.. poi sperimento il resto

grazie

Inviato: ven 09 mag , 2008 3:02 pm
da Wizard
static (inside,outside) interface 1.2.3.4 21
access-l outside-in permit tcp any any eq 21

1.2.3.4 è l'ip privato del server

Fatto

Inviato: lun 12 mag , 2008 4:16 pm
da crsoft
Grazie per l'aiuto.

Inserendo le tue righe funzionava l'ftp ma gli altri pc della rete non navigavano più.

Ho risolto utilizzando un pat della porta 21 sul pc che fa da server ftp.

Adesso sembra funzionare il tutto.

Il prossimo passo sarà utilizzar eil pat per girare, in base alle porte, lftp sui stazioni diverse.

Ho scaricato una guida cisco sui pix che viene utilizzata nei corsi credo. Leggerò cercando di imparare qualcosa.

Grazie per l'aiuto.
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it