hegl 10 Geschrieben 16. Oktober 2006 Melden Teilen Geschrieben 16. Oktober 2006 Hallo zusammen, hat jemand eine Idee, wie ich am einfachsten folgendes Szeanrio konfiguriere? Ich habe mehrere Gruppen von IP-Adressen. Gruppe1 sollen z.B.nur per http Internet nutzen, Gruppe2 dagegen zusätzlich pop3, smtp, eine weitere Gruppe alle Ports. Gleichzeitig sollen die Gruppen auch unterschiedliche NAT- bzw. PAT-Adressen erhalten. Also habe ich verschiede object-groups network bzw. object-groups service. Konfiguriere ich jetzt die access-lists kann ich aufgrund der Zuordnung beim nat-Befehl: access-list (inside) 10 access-list 100 nur eine access-list-anziehen (siehe unten). Da ich aber verschiede PAT-Adressen erzwingen möchte habe ich ein Problem. Konfiguriere ich: global (outside) 10 access-list 100 global (outside) 20 access-list 200 nat (inside) 10 access-list 100 nat (inside) 20 access-list 200 kann ich bei der Zuordung zum interface ja nur eine access-group anziehen, z.B. access-group 100 in interface inside Eine Mehrfachzuordnung zum interafce ist nicht möglich, da dann überschrieben wird. Wie komme ich aus dem Dilemma heraus? THX. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 18. Oktober 2006 Melden Teilen Geschrieben 18. Oktober 2006 Subinterfaces ? Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 19. Oktober 2006 Autor Melden Teilen Geschrieben 19. Oktober 2006 Was verstehst Du bei einer PIX unter einem Subinterface? VLAN? - No chance! Vielleicht habe ich mich auch nicht richtig ausgedrückt, dass hier niemand Hilfe zu m.E. basics geben kann. Im Momnet arbeite ich nur mit einzlenen IP´s bei den policies, dann sieht das ungefähr so aus: access-list traffic_out permit tcp any any eq www access-list traffic_out permit tcp host 10.10.10.10 any eq pop3 access-list traffic_out permit tcp host 10.10.11.11 any eq ssh global (outside) 10 80.80.80.80 netmask 255.255.255.255 global (outside) 20 80.80.80.81 netmask 255.255.255.255 global (outside) 30 80.80.80.82 netmask 255.255.255.255 nat (inide) 10 10.10.10.10 255.255.255.255 nat (inside) 20 10.10.11.11 255.255.255.255 nat (inside) 30 0 0 access-group traffic_out in interface inside Somit habe ich verschiedenen Usern unterschiedliche Berechtigungen zugeteilt, welche dann auch noch eine unterschiedliche NAT-Adresse erhalten. Bei meiner neuen Konfiguration arbeite ich mit object-groups. Das sieht dann ungefähr so aus, nachdem ich die object-groups definiert habe: access-list traffic_out_10 permit tcp object-group Special_User any object-group EMail_Ports access-list traffic_out_20 permit tcp object-group ALL_User any object-group Web_Ports global (outside) 10 80.80.80.80 255.255.255.255 global (outside) 20 80.80.80.81 255.255.255.255 nat (inside) 10 access-list traffic_out_10 nat (inside) 20 access-list traffic_out_20 So, und nun mein Problem: die verschiedenen access-list muss ich nun dem interface inside zuordnen, da dort die policy ziehen soll. Doch leider kann ich ja nur eine access-list einem interface zuordnen. Grübel, grübel, grübel... :confused: Vielleicht weiß ja doch einer was? :) Bevor jetzt die Frage kommt, warum ich dies mache: Ich habe es mit 8 CLASS-C VLAN´s zu tun, sprich 8 x 255 Adressen. Bei meiner aktuellen config hat dies mittlerweile Ausmaße erreicht, die nicht mehr zu handeln sind - deswegen nun alles über object-groups. THX. Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 19. Oktober 2006 Melden Teilen Geschrieben 19. Oktober 2006 Ich versteh noch nicht ganz warum machst du das nicht in eine ACL? Sind die Nat-Einträge wirklich von den Regeln betroffen? Ändert sich an den NAT-Einträgen wirklich öffters was, oder sollen die nur den Hosts aus den verschiedenen Netzen unterschiedliche externen IPs zuordnen? Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 19. Oktober 2006 Autor Melden Teilen Geschrieben 19. Oktober 2006 Ich versteh noch nicht ganz warum machst du das nicht in eine ACL? Sind die Nat-Einträge wirklich von den Regeln betroffen? Ändert sich an den NAT-Einträgen wirklich öffters was, oder sollen die nur den Hosts aus den verschiedenen Netzen unterschiedliche externen IPs zuordnen? 1) Leider verstehe ich Deine Frage nicht. Wie soll ich das in eine ACL machen? 2) Jepp, die Hosts aus verschiedenen Netzen sollen unterschiedlichen exterenen IPs zugeordnet werden. Bin weiterhin für jede Anregung dankbar. hegl Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 19. Oktober 2006 Melden Teilen Geschrieben 19. Oktober 2006 Gut, dann kannst du doch fürs NAT Accesslisten schreiben die einfach für alles IP von den Netzen ziehen und für die Zugriffskontrolle eine zusätzliche Accessliste auf dem internen Interface eingehend, über die du die Zugriffe regelst. EDIT: Oder auf dem Externen ausgehend, dann hast du allerdings ggf. Probleme mit den Orginal-Quell-IPs... Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 20. Oktober 2006 Autor Melden Teilen Geschrieben 20. Oktober 2006 Die Leitung ist was länger, kannst Du mir bitte ein Beispiel schreiben? THX. Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 20. Oktober 2006 Melden Teilen Geschrieben 20. Oktober 2006 Hab jetzt nicht wirklich eine PIX hier aber wenn ich es nicht zusehr durcheinander werfe in dieser Art: access-list NAT_10 permit ip 192.168.10.0 255.255.255.0 any global (outside) 10 80.80.80.80 255.255.255.255 nat (inside) 10 access-list NAT_10 usw. für deine verschiedenen internen Netze... access-list inside-access-in permit tcp object-group Special_User any object-group EMail_Ports access-list inside-access-in permit tcp object-group ALL_User any object-group Web_Ports access-list inside-access-in deny ip any any access-group inside-access-in in interface inside Hier wird dann eine ACL für allen Traffic geschrieben. (Ich gehe davon aus das aller Verkehr über ein Interface eingeht.) EDIT: kleinen Fehler mit - und _ in der config korregiert. Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 20. Oktober 2006 Autor Melden Teilen Geschrieben 20. Oktober 2006 Wenn das so geht, wäre ich postiv überrascht. Bin bis jetzt eigentlich davon ausgegangen, wenn ich eine access-list konfiguriere, muss ich diese auch einer access-group zuordnen. Ist das ein Trugschluss? So wie Du es darstellst, kann ich eine access-list auf zweierlei Arten zuorden: - einmal per nat / global - oder per access-group Ich lass mich überraschen :) Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 20. Oktober 2006 Melden Teilen Geschrieben 20. Oktober 2006 Hö?? Nein, die Access-list "inside-access-in" ist doch über eine Access-group einem Interface zugeordnet. Die andere Access-list "NAT_10" ist nur für eins von den NAT-Regeln, hier die 10er. Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 20. Oktober 2006 Autor Melden Teilen Geschrieben 20. Oktober 2006 Hö?? Nein, die Access-list "inside-access-in" ist doch über eine Access-group einem Interface zugeordnet. Die andere Access-list "NAT_10" ist nur für eins von den NAT-Regeln, hier die 10er. Irgendwie scheinen wir zwei ganz schön aneinander vorbei zu reden? Wichtig für mich ist, dass die gruppierten internen IP´s auf unterschiedliche externe IP´s genattet werden, z.B. 10.10.10.0 --> 80.80.80.80 10.10.11.0 --> 80.80.80.81 10.10.12.0 --> 80.80.80.82 usw. wobei die auch noch unterschiedliche Berechtigungen haben, weil in dem 10-er Netz "normale" User sind, im 11-er Netz "etwas mehr berechtigte" User und im 12-er Netz die Admins. Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 20. Oktober 2006 Melden Teilen Geschrieben 20. Oktober 2006 genau davon ging ich aus! ;) Allerdings schlage ich vor NAT und Zugriffskontrolle zu trennen: NAT: Du kannst ganz kleine Access-Listen schreiben, eine für jedes Netz das eine eigene externe IP haben soll: access-list NAT_10 permit ip 10.10.10.0 255.255.255.0 any access-list NAT_11 permit ip 10.10.11.0 255.255.255.0 any ... global (outside) 10 80.80.80.80 255.255.255.255 global (outside) 11 80.80.80.81 255.255.255.255 ... nat (inside) 10 access-list NAT_10 nat (inside) 11 access-list NAT_11 ... Zugriffskontrolle: weiter war ich davon ausgegangen das all diese Netze über ein Interface mit der Firewall reden und du daher die Zugriffskontrolle über eine ACL auf dem Interface machen kannst: access-list inside-access-in permit tcp object-group Special_User any object-group EMail_Ports access-list inside-access-in permit tcp object-group ALL_User any object-group Web_Ports access-list inside-access-in deny ip any any access-group inside-access-in in interface inside Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 20. Oktober 2006 Autor Melden Teilen Geschrieben 20. Oktober 2006 So, allmählich versteh´ ich Dich besser :) Im Prinzip heisst das also, obwohl ich beim NAT schon eine Zugriffskontrolle mache, wird diese nicht angezogen, weil ich sie nicht dem inside interface zuordne. Also beschränkt sie sich erstmal nur auf´s NAT. Erst mit weiteren access-list mit anderen access-list id´s und Zuordnung zum inside interface solte alles funktionieren (Zugriffskontrolle). Richtig so? Zitieren Link zu diesem Kommentar
czappb 10 Geschrieben 20. Oktober 2006 Melden Teilen Geschrieben 20. Oktober 2006 Ich würde es so sehen, dass das NAT nur für die Adressübersetzung da ist und gar nicht den Zugriff kontrollieren soll. Daher habe ich auch keine Beschränkungen in den NAT-Access-Lists. Und damit eine Zugriffskontrolle stattfindet filtere ich den Netzwerkverkehr der ins Inside Interface kommt. Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 20. Oktober 2006 Autor Melden Teilen Geschrieben 20. Oktober 2006 Jippie - ich habe Dich verstanden :) :) :) Vielen Dank für Deine Geduld und Mühe. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.