PIX 501 e router Alice, consiglio su range IP

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
habercom
n00b
Messaggi: 7
Iscritto il: sab 24 gen , 2009 12:44 am

Salve a tutti, da un pò di tempo mi sono avvicinato al mondo cisco e sto cercando di configurare un PIX 501 per la mia rete, sono qui per chiedere alcuni consigli in quanto la mia esperienza è ancora minima...

La rete è composta da: Router, Firewall, e a valle un webserver ed alcuni PC.

Il router Alice ha IP: 10.1.1.150, il PIX ha IP interno 10.1.1.1, vorrei utilizzare sul router un range differente tipo 192.168.1.1 per un miglior isolamento...è una buona idea o conviene utilizzare altri IP?
Se optassi per questa soluzione, considerando che ho un webserver con IP: 10.1.1.200, come dovrei configurare il virtual server del router per far raggiungere dall'esterno la porta 80?

Grazie!
Ultima modifica di habercom il sab 29 ago , 2009 6:12 pm, modificato 1 volta in totale.
habercom
n00b
Messaggi: 7
Iscritto il: sab 24 gen , 2009 12:44 am

Da quello che ho potuto leggere la mia configurazione sembra corretta e tutto funziona bene, il solo problema rimasto è come configurare il maledetto virtual server del router alice considerando che:

Alice ha ip 192.168.1.1
PIX 501 eth0: 192.168.1.2 - eth1: 10.1.1.1
Web Server ip: 10.1.1.200 porta 80

L'indirizzo pubblico del webserver dovrà essere: http://IP:65000

Configurando il virtual server con:

porta di origine: 65000
porta destinazione: 80
ip: 10.1.1.200

funziona alla perfezione, ma con il PIX in mezzo (dunque ip 192.168.1.2) non più.

Ho provato ad effettuare la seguente configurazione, pensando che fosse il PIX a bloccare il traffico:

access-list inbound permit tcp any host 192.168.1.2 eq 80
access-list inbound permit icmp any host 192.168.1.2
access-group inbound in interface outside

invano...dall'esterno non raggiungo il server.

Grazie per il vostro prezioso aiuto!
CiscoBGP
Cisco power user
Messaggi: 90
Iscritto il: ven 26 dic , 2008 3:02 pm
Località: Reggio Emilia

Ciao haber

Hai ruotato fuori dal Pix il tuo Server sulla porta 65000?

Il router Alice deve fare solo da Bridge verso la rete è il Pix che gestisce tutto

Pix501#conf term
Pix501(config)#static(inside,outside) tcp 192.168.1.2 65000 10.1.1.200 80 netmask 255.255.255.255 0 0
Pix501#

Non credo che tu possa configurare l'Alice in Bridge mode, dovresti mettere un Cisco davanti e il Pix

Altrimenti togli il Pix e usa il V S dell'Alice che funzia! verrà pubblicato il tuo server sull'IP pubblico con cui si annuncia su Internet
habercom
n00b
Messaggi: 7
Iscritto il: sab 24 gen , 2009 12:44 am

Grazie per la risposta!

Sul PIX ho settato:
static (inside,outside) tcp interface 65000 10.1.1.200 80 netmask 255.255.255.255 0 0
access-list acl_in permit tcp any interface outside eq 65000
access-group acl_in in interface outside

quando cerco di collegarmi dall'esterno non funziona, #show conn visualizza:
TCP out 62.149.231.213:4963 in 10.1.1.200:80 idle 0:00:02 Bytes 0 flags SaAB

quale può essere il problema?

P.S. Senza il PIX ovviamente il tutto funziona, ho anche un 877 per sostituire Alice ma volevo fare le cose gradualmente, ancora non ne sono capace... :)
CiscoBGP
Cisco power user
Messaggi: 90
Iscritto il: ven 26 dic , 2008 3:02 pm
Località: Reggio Emilia

Che classi di IP pubblici ti sono state assegnate?

Puoi provare a mettere la punto punto sulla Wan e il GW degli IP lan assegnati sulla rete LAN, poi dietro il PIX

Tuttavia come ti ho già detto credo che con l'Alice gate non funzi

Ricordati il tutto senza Nat e senza Virtual Server

Ciao
Rispondi