pix con dmz

[|nd|4nO]

salve a tutti,
volevo sottoporvi un mio problema ... ho un pix 515e con 3 schede di rete ...
un mail server in dmz ...
gli host in inside sono nattati verso l'esterno con un pool di indirizzi pubblici ..
gli host in dmz sono nattati anche essi verso l'esterno con vari ip pubblici ...
da un host inside riesco tranquillamente a raggiungere la zona dmz tramite l'ip pubblico e lo stesso host inside si presenta al mondo esterno con il suo proprio ip pubblico ...
il problema si presenta quando tento di accedere al server dmz (diciamo il mail) ... tramite il suo ip pubblico il server vede ancora il mio indirizzo privato nattato (10.1.3.xxx) ...
com'è possibile una cosa del genere ? non dovrebbe vedere il mio ip pubblico con cui il pix mi fa uscire sull'interfaccia outside e dovrebbe farmi rientrare sulla dmz ?
altro problema (non so se siano legati) da un host interno nattato verso l'esterno con un suo ip pubblico (es. 232.122.22.132) non posso raggiungere un altro host interno nattato allo stesso modo con un altro ip pubblico (es. 232.122.22.131) ...
qualcuno può aiutarmi ? sto impazzendo ...
grazie mille ...

[Wizard]

Perchè dal interno non accedi ai vari server puntando agli ip interni?!

[|nd|4nO]

intanto grazie per la risposta

Perchè dal interno non accedi ai vari server puntando agli ip interni?!

non va ... questo è un ping da un pc interno classe 10.1.x.x verso un server in dmz classe 10.2.2.x

Pinging 10.2.2.3 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 10.2.2.3:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

... gli static ci sono altrimenti non andrebbe neanche con l'ip pubblico ... sbaglio ?!?!?!?
per l'altro problema qualche suggerimento ???? da interno a interno con ip pubblico ?
tnx

[djdylan78]

Per principio il pix è completamente blindato, sicuramente sono bloccati gli icmp reply dalla dmz verso la inside e quindi se provi a pingare viene impedita la risposta dal server in dmz tranne che sia esplicitamente permesso da qualche acl
prova a tirare su un debug ip packet per verificare se arrivano pacchetti dalla inside destinati al server mail
altra cosa che puoi provare un telnet sulla porta smtp del server per vedere effettivamente se funziona la connettività da inside a dmz
cmq se posti la config è un po' piu' semplice provare a rispondere...

[|nd|4nO]

Per principio il pix è completamente blindato, sicuramente sono bloccati gli icmp reply dalla dmz verso la inside e quindi se provi a pingare viene impedita la risposta dal server in dmz tranne che sia esplicitamente permesso da qualche acl
prova a tirare su un debug ip packet per verificare se arrivano pacchetti dalla inside destinati al server mail
altra cosa che puoi provare un telnet sulla porta smtp del server per vedere effettivamente se funziona la connettività da inside a dmz
cmq se posti la config è un po' piu' semplice provare a rispondere...

ecco la conf ... ( con il telnet non funge)


hostname pixfirewall

domain-name xxxxx.it

enable password xxxxxxxxxxxxx encrypted

names

!

interface Ethernet0

speed 100

duplex full

nameif outside

security-level 0

ip address xxx.xxx.xxx.xxx 255.255.255.0

!

interface Ethernet1

speed 100

duplex full

nameif inside

security-level 100

ip address 10.1.1.1 255.255.0.0

!

interface Ethernet2

nameif dmz

security-level 50

ip address 10.2.2.1 255.255.255.0

!

passwd xxxxxxxxxx encrypted

ftp mode passive

clock timezone CEST 1

clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00

access-list inside_access_in extended permit ip 10.1.0.0 255.255.0.0 any

access-list inside_access_in extended permit icmp any any

access-list inside_access_in extended permit ip any any

access-list outside_access_in extended permit ip any 151.13.0.0 255.255.0.0

access-list outside_access_in extended permit ip any any

access-list dmz_access_in extended permit ip any any

access-list dmz_access_out extended permit ip any any

access-list inside_access_out extended permit ip any any

pager lines 24

logging enable

logging timestamp

logging buffer-size 102480

logging console debugging

logging monitor debugging

logging buffered debugging

logging trap informational

logging history debugging

logging asdm debugging

logging mail debugging

logging facility 22

logging host outside 10.1.100.77

logging ftp-server 10.1.100.19 /log/pix515e/ pix ****

logging permit-hostdown

logging message 103001 level emergencies

logging message 101002 level notifications

logging message 101003 level warnings

logging message 101001 level informational

logging message 101004 level errors

logging message 101005 level critical

logging message 100000 level debugging

mtu outside 1500

mtu inside 1500

mtu dmz 1500

ip audit name attack attack action alarm drop reset

ip audit name info info action alarm

ip audit interface outside info

ip audit interface outside attack

ip audit attack action drop

no failover

monitor-interface outside

monitor-interface inside

monitor-interface dmz

icmp permit any outside

asdm image flash:/asdm504.bin

asdm history enable

arp timeout 14400

nat-control

global (outside) 555 pool di indirizzi pubblici

global (outside) 9999 singolo ip pubblico per nat di gruppo

global (inside) 100 singolo ip pubblico statico per host interno

nat (inside) 555 10.1.0.0 255.255.0.0

static (inside,outside) xxx.xx.20.30 10.1.100.180 netmask 255.255.255.255

static (dmz,outside) xxx.xx.20.42 10.2.2.2 netmask 255.255.255.255

static (dmz,outside) xxx.xx.20.43 10.2.2.3 netmask 255.255.255.255 dns

static (inside,dmz) 10.1.0.0 10.1.0.0 netmask 255.255.0.0

static (inside,outside) xxx.xx.20.200 10.1.3.77 netmask 255.255.255.255

static (dmz,inside) xxx.xx.20.43 10.2.2.3 netmask 255.255.255.255

static (dmz,inside) xxx.xx.20.42 10.2.2.2 netmask 255.255.255.255

static (dmz,inside) xxx.xx.20.44 10.2.2.4 netmask 255.255.255.255

static (dmz,outside) xxx.xx.20.44 10.2.2.4 netmask 255.255.255.255

access-group outside_access_in in interface outside

access-group inside_access_in in interface inside

access-group inside_access_out out interface inside

access-group dmz_access_in in interface dmz

access-group dmz_access_out out interface dmz

route outside 0.0.0.0 0.0.0.0 xxx.xx.20.1 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00

timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

http server enable

http 87.12.182.1 255.255.255.255 outside

http 10.1.0.0 255.255.0.0 inside

snmp-server host inside 10.1.100.110 poll community Canopy version 2c

snmp-server host outside xxx.xx.20.40 poll community private version 2c

snmp-server location xxxx

snmp-server contact xxxxx

snmp-server community private

snmp-server enable traps snmp authentication linkup linkdown coldstart

telnet xxx.xx.20.0 255.255.255.0 outside

telnet 10.1.0.0 255.255.0.0 inside

telnet timeout 5

ssh 87.12.182.1 255.255.255.255 outside

ssh 10.1.100.110 255.255.255.255 inside

ssh timeout 5

console timeout 0

dhcpd address 10.1.1.2-10.1.2.1 inside

dhcpd dns 212.216.172.162 212.216.112.112

dhcpd lease 3600

dhcpd ping_timeout 50

dhcpd enable inside

!

class-map global-class

match default-inspection-traffic

!

!

policy-map global-policy

class global-class

inspect ctiqbe

inspect rsh

inspect esmtp

inspect h323 ras

inspect ftp

inspect http

inspect sip

inspect icmp error

inspect xdmcp

inspect h323 h225

inspect netbios

inspect icmp

inspect ils

inspect rtsp

inspect skinny

inspect tftp

inspect sqlnet

inspect pptp

inspect dns

inspect mgcp

inspect sunrpc

inspect snmp

!

service-policy global-policy global

ntp server 193.204.114.105 source outside prefer

Cryptochecksum:xxxxxxxxxxxxxx

: end

[Wizard]

Ti manca il nat0 o una rotta statica dalla rete inside verso la dmz:

Codice: Seleziona tutto

access-l ACL-NAT0 permit RETE_INSIDE 255.255.255.0 RETE_DMZ 255.255.255.0

nat (inside) 0 access-list ACL-NAT0

[|nd|4nO]

Ti manca il nat0 o una rotta statica dalla rete inside verso la dmz:

Codice: Seleziona tutto

access-l ACL-NAT0 permit RETE_INSIDE 255.255.255.0 RETE_DMZ 255.255.255.0

nat (inside) 0 access-list ACL-NAT0

grazie mille ora va anche con l'ip interno dei server in dmz ...
purtroppo mi rimane il problema che da un ip pubblico dato all'inside non riesco a raggiungere un altro ip dato all'inside ... ((
qualche idea ?

[Wizard]

purtroppo mi rimane il problema che da un ip pubblico dato all'inside non riesco a raggiungere un altro ip dato all'inside

Cioè, tu vuoi raggiungere una macchina in inside puntando al suo ip pubblico partendo da una macchina anchessa nattata?

[|nd|4nO]

purtroppo mi rimane il problema che da un ip pubblico dato all'inside non riesco a raggiungere un altro ip dato all'inside

Cioè, tu vuoi raggiungere una macchina in inside puntando al suo ip pubblico partendo da una macchina anchessa nattata?

perfetto è quello che intendevo !
si puo' fare ?
grazie mille

[|nd|4nO]

niente non trovo niente pur avendo letto un po di manuali ....
guardando nei log non vedo niente di strano come se la richiesta non arrivasse per niente ...
nessuna idea ?
grazie mille ..

[sylehc]

Potresti usare il DNS rewrite. Mi spiego, se usi il dns (anche esterno) per risolvere i nomi dei tuoi hosts, allora prova a modificare il nat inside outside aggiungendo dns prima della netmask. Ad esempio, se l'ip 10.1.100.180 ce l'hai nel dns col nome di pippo.dominio.com allora dovrai modificare il nat statico:

Codice: Seleziona tutto

static (inside,outside) xxx.xx.20.30 10.1.100.180 netmask 255.255.255.255

in:

Codice: Seleziona tutto

static (inside,outside) xxx.xx.20.30 10.1.100.180 dns netmask 255.255.255.255

In questo modo la risoluzione DNS del nome pippo.dominio.com verra' sovrascritta dal PIX con l'ip privato xxx.xx.20.30

[|nd|4nO]

intanto grazie per la risposta ...
purtroppo non ho dns per la risoluzione dei nomi interni
ho postato il problema sul forum cisco
http://forums.cisco.com/eforum/servlet/ ... irewalling

e mi rispondono in sintesi che il problema si dovrebbe risolvere con il comando
same-security-traffic permit intra-interface
che teoricamente dovrebbe permettere la comunicazione tra interfacce con lo stesso security level purtroppo perà per quello che ho capito nella mia versione del ios 7.0.4 funziona solo con i peers vpn e non con gli host normalmente nattati ...
quindi dovrò fare un aggiornamento credo (ancora non ho capito come si fa sinceramente)!
qualche altra idea ???
grazie ancora per le risposte

[Wizard]

Intanto aggiorna la ios!
Però, il comando same-security-traffic permit intra-interface mi sa un po' tanto insicuro...
Io provere a fare un nat al contrario...:

nat (outside,inside)...

[|nd|4nO]

Intanto aggiorna la ios!
Però, il comando same-security-traffic permit intra-interface mi sa un po' tanto insicuro...
Io provere a fare un nat al contrario...:

nat (outside,inside)...

ma per aggiornare la ios ho bisogno di un account smartnet e di un ios specifico per la mia chiave di licenza ?
il problema è che sono un bel po di host e dovrei fare il nat per ognuno di questo ed inoltre l'ip che il pix assegna agli host interni a volte cambia ...

tnx

[Wizard]

ma per aggiornare la ios ho bisogno di un account smartnet e di un ios specifico per la mia chiave di licenza ?

Si...