PIX 501, bloccare le porte

tecnicola · mer 16 nov , 2005 6:08 pm

Ciao a tutti,
ho un problema con un cisco PIX501, io dovrei bloccare tutte le porte sul firewall tranne la 80 per internet e la 110 e 35 per la posta elettronica,
ora ho gia visto la guida su IT BLOG ma non mi trovo con la sintassi,
non ci sto più capendo niente,
Su IT BLOG la sintassi é:

access-list 105 permit TCP 192.168.0.0 0.0.0.255 any eq 80
access-list 105 permit ICMP 192.168.0.0 0.0.0.255 host 80.80.80.80 echo
access-list 105 deny IP any any

IL MIO FIREWALL DA

global (outside) 10 interface
nat (inside) 10 0.0.0.0 0.0.0.0 0 0
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1

andrewp · gio 17 nov , 2005 12:25 am

Prendi un respiro...dicci l'indirizzamento interno della LAN, gli host che vuoi far passare, l'indirizzo pubblico.

Ciao.

tecnicola · gio 17 nov , 2005 3:18 pm

Ciao,

io dovrei far passare un gruppo di utenti, ma tanto per iniziare mi accontento di uno,
indirizzo della lan é 192.168.0.23
l'indirizzo del pix é 192.168.0.1
l'indirizzo dell'outside del pix è 192.168.1.2

grazie mille
siete dei grandi

andrewp · gio 17 nov , 2005 3:36 pm

tecnicola ha scritto:l'indirizzo del pix é 192.168.0.1
l'indirizzo dell'outside del pix è 192.168.1.2

Ti stai confondendo, non possono essere sulla stessa rete, comunque a te basta aggiungere solo questo:

access-list 105 permit TCP 192.168.0.0 0.0.0.255 any eq 80
access-list 105 permit TCP 192.168.0.0 0.0.0.255 any eq 25 (25 è smtp...)
access-list 105 permit TCP 192.168.0.0 0.0.0.255 any eq 110

tecnicola · gio 17 nov , 2005 4:19 pm

ciao,
in che senso non possono essere sulla stessa rete?
comunque , io ho inserito in hyper terminal la prima access list e mi da il seguente errore:

ERROR: Source address,mask <192.168.0.0,0.0.0.255> doesn't pair

grazie

andrewp · gio 17 nov , 2005 7:56 pm

Dimenticavo....il pix non utilizza le wildcard mask, quindi sono:

access-list 105 permit TCP 192.168.0.0 255.255.255.0 any eq 80
access-list 105 permit TCP 192.168.0.0 255.255.255.0 any eq 25
access-list 105 permit TCP 192.168.0.0 255.255.255.0 any eq 110

Ciao.

MaiO · gio 17 nov , 2005 7:59 pm

Ma insiede e outside sulla stessa subnet???? Hmmmmm.....
A cosa server sto FW????

Ciao

tecnicola · ven 18 nov , 2005 9:30 am

ciao,
comprendo il tuo stupore, ora ti spiego in 2 parole la rete, a monte c'è un cisco 3600 di fastweb che oltre alla navigazione internet smista pure X linee telefoniche ed é intoccabile.
Per la rete mi hanno dato indirizzo 192.68.0.x ora i tizi della rete mi hanno detto di mettere un Firewall "per il discorso sicurezza" ed io ho optato per un PIX 501,
cmq ora provo i suggerimenti che mi avete dato e vi faccio sapere
ciao
e grazie a tutti

MaiO · ven 18 nov , 2005 10:35 am

netkiller ha scritto:
MaiO ha scritto:Ma insiede e outside sulla stessa subnet???? Hmmmmm.....
A cosa server sto FW????

Ciao
mmmmm.....riguardati il subnetting
192.168.0.0/24 e 192.168.1.0/24 non sono la stessa subnet.

Matteo

Ehhh, è la stanchezza... uno che ci può fare, i dettagli importanti sfuggono dopo 12 ore di lavoro continuo e 70 in una settimana.

Purtroppo...

tecnicola · ven 18 nov , 2005 10:45 am

GRAZIE A TUTTI!!!
MI AVETE SALVATO!!!1
FUNZIONA TUTTO, AVEVATE RAGIONE PER LE SUBNET ERA QUELLO IL MOTIVO D'ERRORE
grazie!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

PIX 501, bloccare le porte

Login • Iscriviti