problemi port forwarding pix 501

[rrroberto]

succede qualcosa di strano quando faccio il port forwarding verso un server smtp che ho nella mia lan.
io ho messo questi comandi:

Codice: Seleziona tutto

static (inside,outside) tcp interface smtp 192.168.1.240 smtp netmask 255.255.255.255 0 0

access-list mail-server permit tcp any interface outside eq smtp

access-group mail-server in interface outside

non da errori, ma se dall'esterno provo a collegarmi in telnet sulla porta 25 mi esce fuori qualcosa che ricorda la risposta di un server smtp ma pieno di asterischi e che non accetta comandi.

io penso che:
o è sbagliata la redirezione che ho fatto io
oppure c'è una qualche codifica o qualcosa che avviene... boh!

ovviamente se mi connetto via lan al mio smtp funziona tutto correttamente.

grazie a tutti
Roberto

[Wizard]

static (inside,outside) tcp IP_PUbblico 25 IP_Interno 25 netmask 255.255.255.255

La ACL va bene!

Per il resto prova levare il fixup per l' smtp

[rrroberto]

anche lo static andava bene, in effetti è bastato tirare via il fixup per l'smtp!

grazie!

in verità, sapresti spiegarmi qual è l'azione del fixup protocol?
grazie
Roberto

[Wizard]

I fixup dei Cisco PIX Firewall, hanno principalmente due funzioni:

1) Rendere piu sicuri alcuni servizi limitandone i comandi (vedi SMTP)
2) Gestire protocolli Multisessione, andando a riscrivere il payload del
pacchetto dove serve, e creando aperture dinamiche.

Sono essenzialmente un sunto delle CBAC( Context-based access lists, aka
ip inspect) dell' IOS/IP/FW ma funzionano peggio.

Se cerchi su bugtraq, potrai trovare alcuni miei advisor sul cattivo
funzionamento dei vari fixup su PIX (in giornata dovrei poter testare le
CBAC di IOS/IP/FW 12.1.4) .

La loro funzione e' spiegata nel command reference anche se non vengono
dati grandi dettagli che puoi comunque studiare abilitando il "debug fixup
tcp" sul pix, e stabilendo sessioni che li attivano .

http://www.sikurezza.org/ml/10_00/msg00089.html

[rrroberto]

quindi disattivandolo demando semplicemente, come sarebbe normale, tutti i controlli al server smtp?

ok. non è un problema.
il fatto che venissero fuori tutti asterischi quindi era un bug suo immagino?

grazie
ciao
Roberto

[Wizard]

Non è un bug, il fixup, come sua regola di protezione, blocca anche il banner.
Se non ce la hai già metti la ultima IOS 6.3.5

[rrroberto]

uhm. corretto. hai ragione. infatti mi lasciava vedere solo 220 e il resto lo ateriscava.
però è anche vero che non mi consentiva di passare i comandi al server.

[Wizard]

Sulla versione 6.3.x del PIX non è possibile scegliere i comandi che possono o no passare dal firewall verso il server di posta mentre con la versione 7 si.
La versione 7 però non esiste x i pix 501 ma solo x i PIX515, 525 e 535 e ASA.

[rrroberto]

va bene. non dico che mi sono fatto un quadro preciso ora ma ho sufficienti spunti per studiare nella direzione giusta.
ti ringrazio molto intanto
ciao
Roberto

[Wizard]

Se può chiarirti meglio le idee:

Usage Guidelines

The fixup protocol commands let you view, change, enable, or disable the use of a service or protocol through the PIX Firewall. The ports you specify are those that the PIX Firewall listens at for each respective service. You can change the port value for every service except rsh. The fixup protocol commands are always present in the configuration and are enabled by default.

The fixup protocol command performs the Adaptive Security Algorithm based on different port numbers other than the defaults. This command is global and changes things for both inbound and outbound connections, and cannot be restricted to any static command statements.

cisco.com