Dackel77 10 Geschrieben 13. April 2007 Melden Teilen Geschrieben 13. April 2007 Hallo Forum ! So, habe jetzt nach der Grundkonfiguration für die PIX 506e endlich die (knappe) Zeit sie testweise mal komplett einzurichten. Ich denke, dass man die Grundkonfiguration für ein einfaches LAN mit Anbindung an das Internet auch gut über den PDM hinbekommen sollte. Allerdings finde ich meist nur die Console-Befehle in Tutorials und Anleitungen. Unsere Konfig ist: Inside-> 1 Netzwerk Es sollen SMTP-Mails auf einen Exchangeserver in diesem Netz von aussen ankommen Ausserdem sollen auf dem selben Rechner noch 2 Ports für Filemakerdatenbanken durchgelassen werden Outside-> Internet Ich muss doch z.B. für SMTP nur auf "Add Rule" -> permit Source Host Interface Outside Protocol and Service Source Port TCP ->Service -> SMTP Destination Host Interface Inside IP Adresse 192.168.XX.XX des Servers Mask 255.255.255.255 Und als Destination Port / Service ebenfalls SMTP angeben oder bin ich da komplett vom Verständnis dieses Dialoges falsch gewickelt ? Danke für die Infos Grüsse IP-Adressen für die Interfaces sind soweit konfiguriert aber die Durchleitung für die Ports finde ich über den PDM irgendwie unverständlich. Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 13. April 2007 Melden Teilen Geschrieben 13. April 2007 Ich glaube, das sollte reichen: Configuration Examples Configuring the PIX Firewall with Mail Server Access on Inside Network [Cisco PIX 500 Series Security Appliances] - Cisco Systems Zitieren Link zu diesem Kommentar
Dackel77 10 Geschrieben 13. April 2007 Autor Melden Teilen Geschrieben 13. April 2007 danke schon mal ! Aber genau das ist ja der Punkt: es ist wieder in der Console erklärt, ich möchte aber genau diese Einstellungen im PDM machen und den versteh ich nicht, möchte ich aber. Das Dokument hilft mir für die Console gut weiter aber um jetzt zu wissen was ich im PDM einstellen muss, würde ich es jetzt so per console einstellen und mir dann im PDM angucken, ist irgendwie von hinten durchs Knie ins Auge geschossen. Zitieren Link zu diesem Kommentar
Dackel77 10 Geschrieben 13. April 2007 Autor Melden Teilen Geschrieben 13. April 2007 so hab mich da jetzt mal soweit durchgelesen, ist auch verständlich unser Mailserver hat NUR die interne 192.168.XXX.XXX IP,so dass das Beispiel mit der zweiten IP aus dem Outsideadressbereich es scho verkompliziert. Es soll also alles was auf Port 25 ankommt einfach auf diese interne Adresse weitergeleitet werden (so wie es zur Zeit bei unserer Linux-Firewall auch ist). Eigentlich geht es mir auch nur um eine geschickte Anleitung/Übersetzung zwischen den Console-Befehlen und dem PDM 3 (bin von natur aus eher der Mausbediener als der Console-tipper. Wie müsste ich zum Beispiel das Beispiel aus Deinem Link im PDM konfigrieren, kannst Du das sagen oder geht das eventuell garnicht darüber? danke für die Infos Zitieren Link zu diesem Kommentar
onedread 10 Geschrieben 13. April 2007 Melden Teilen Geschrieben 13. April 2007 HI ich glaub du bist über die console schneller als über den PDM, und du kannst nicht immer alles über den PDM machen soviel ich weiß. Ich würd mir an deiner Stelle lieber die Console angewöhnen ist einfach besser zum handln. Aber jetzt musst du einmal einen Access-liste für das outside interface anlegen da jeder auf die server ip address auf port 25 und die beiden anderen ports die du brauchst zugriff haben soll. dann mappst du diese alc aufs outside interface mit den befalle access-group ACL in interface outside dann brauchst du noch ein Static, hast du ne fixe ip addresse? wenn ja. dann kommt noch das hinzu static (inside,outside) tcp EXTERNE IP 25 INTERNE IP 25 netmask 255.255.255.255 0 0 fertig arbeit. du siehst du musst ganze 3 zeilen in die config eintragen und fertig. mfg onedread Zitieren Link zu diesem Kommentar
Dackel77 10 Geschrieben 13. April 2007 Autor Melden Teilen Geschrieben 13. April 2007 ok, danke, dann werd ich mal consolidieren :D Schon mal danke und nur zum Verständnis hier mal wie ich es dann machen würde: HI Aber jetzt musst du einmal einen Access-liste für das outside interface anlegen da jeder auf die server ip address auf port 25 und die beiden anderen ports die du brauchst zugriff haben soll. wäre also bei mir als Befehl access-list MAIL permit tcp any host 192.168.13.XXX eq smtp um auf diesen Rechner im Inside den Port 25 zu bringen dann mappst du diese alc aufs outside interface mit den befalle access-group ACL in interface outside würde dann so aussehen, oder? access-group MAIL in interface outside dann brauchst du noch ein Static, hast du ne fixe ip addresse? wenn ja. dann kommt noch das hinzu static (inside,outside) tcp EXTERNE IP 25 INTERNE IP 25 netmask 255.255.255.255 0 0 also so: static (inside,outside) tcp 217.146.XXX.XXX 25 192.168.001.001 25 netmask 255.255.255.255 0 0 fertig arbeit. du siehst du musst ganze 3 zeilen in die config eintragen und fertig. mfg onedread Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 13. April 2007 Melden Teilen Geschrieben 13. April 2007 Eigentlich wird in dem o.g. zweiten Link alles dargestellt! In deiner ACL "Mail" musst du nicht die lokale IP angeben, sondern die globale, sprich 217.146.x.x oder wie soll die interne IP auf dem outside-intreface ziehen? Heisst also im Detail: 1. Erstelle eine ACLfür smtp und definiere dort, wer (welche IP, in deinem Fall also any) auf Deinen Mailserver zugreifen darf. Dabei musst du beachten, dass die Freigabe auf die NAT-Adresse des Mailservers verweist, also auf die 217.146.x.x access-list Mail permit tcp any host 217.146.x.x eq smtp 2. Ordne diese ACL dem entsprechenden interface zu access-group MAIL in interface outside 3. Definiere ein static nat: static (inside,outside) 217.146.x.x <IP Mailserver> netmask <mask> Fertig! Deine DNS-Konfiguration sollte dann so aussehen, dass der MX-Record auf die 217-er IP zeigt. Zitieren Link zu diesem Kommentar
Dackel77 10 Geschrieben 13. April 2007 Autor Melden Teilen Geschrieben 13. April 2007 Eigentlich wird in dem o.g. zweiten Link alles dargestellt!In deiner ACL "Mail" musst du nicht die lokale IP angeben, sondern die globale, sprich 217.146.x.x oder wie soll die interne IP auf dem outside-intreface ziehen? Heisst also im Detail: 1. Erstelle eine ACLfür smtp und definiere dort, wer (welche IP, in deinem Fall also any) auf Deinen Mailserver zugreifen darf. Dabei musst du beachten, dass die Freigabe auf die NAT-Adresse des Mailservers verweist, also auf die 217.146.x.x ok , dass habe ich jetzt gemacht, ist logisch ich erlaube also allen von aussen auff unsere öffentliche IP smtp zu senden, und alles von port 25 wird dann durch die static auf die interne IP des Mailservers weitergeleitet. Deine DNS-Konfiguration sollte dann so aussehen, dass der MX-Record auf die 217-er IP zeigt. Das verstehe ich allerdings nicht, warum reicht bei unserem Internen DNS Server nicht die LAn-IP des Servers ? Von aussen ist der MX Eintrag ja eh von unserem ISP DNS auf die 217.146.... gesetzt, oder meintest Du den ? Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 13. April 2007 Melden Teilen Geschrieben 13. April 2007 Von aussen ist der MX Eintrag ja eh von unserem ISP DNS auf die 217.146.... gesetzt, oder meintest Du den ? Jepp, genau das meinte ich! Zitieren Link zu diesem Kommentar
Dackel77 10 Geschrieben 13. April 2007 Autor Melden Teilen Geschrieben 13. April 2007 ja, danke schon mal, scheint ja tatsächlich auch mit console ganz gut zu machen sein, zumal der pdm bei zweien dieser Rules auch unter "Show Comands ignored by PDM" diese auflistet. Somit scheint er ja tatsächlich nicht alles abzubilden, was die pix kann. smtp funktioniert hier unter testbedingung schon mal. Sollte man noch irgendetwas beachten, wenn man alle benötigten Ports (wie oben) freigegeben hat und sonst alles auf "Standard" von outside alles weiter denied und von intern alles allowed. Irgendwelche nicht-standards die man bei einem einfachen netz mit firewall zum internet umbedingt noch machen sollte? Danke für die Infos. Zitieren Link zu diesem Kommentar
Dackel77 10 Geschrieben 14. April 2007 Autor Melden Teilen Geschrieben 14. April 2007 So, ich wollte jetzt das Wochenende mal nutzen um testweise unseren alten Linuxserver durch die PIX zu ersetzen. Ich habe die interne IP auf die selbe wie vorher der Linuxserver hatte, gesetzt damit nicht alle clients das default-gateway neu eintragen müssen. Die outside-ip ist auch auf unsere statische IP eingetragen, trotzdem bekomme ich zu nichts ausserhalb mit einem Client Verbindung. Wenn ich Ping von der PIX selbst nach ausserhalb und intern abgebe funktioniert dies. Als Defaultgateway auf der PIX ist die IP des ISP-Routers eingetragen, auf den Clients die IP der PIX. Dazu sei noch gesagt das der ausgetauschte Linuxserver bis vor kurzem unser DNS Server war, allerdings läuft dieser jetzt auf einem Windowsserver seit ca. einer Woche ohne Probleme (wobei der Linux-DNS noch parallel lief, aber als DNS nirgends mehr eingestellt war). Jemand eine Idee, wo ich mit der Fehlerbehebung anfangen sollte ? Die PiX506e mit Standardeinstellungen sollte ja von intern erstmal alles erlauben, so dass ich auf ein DNS-Problem oder ähnliches tippe aber keine Idee habe wodran es liegt, was meint ihr ? Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 14. April 2007 Melden Teilen Geschrieben 14. April 2007 Hm, klingt irgendwie nach nem Problem mit NAT... hast du NAT konfiguriert? Zitieren Link zu diesem Kommentar
Dackel77 10 Geschrieben 14. April 2007 Autor Melden Teilen Geschrieben 14. April 2007 Hm, klingt irgendwie nach nem Problem mit NAT... hast du NAT konfiguriert? ja, hab ich (die Standard-inside ist alles erlaubt-rule) aber hat sich auch erledigt, es geht jetzt, auf dem "neuen" DNS war die IP der PIX noch nicht richtig eingetragen, jetzt läuft alles nach plan, trotzdem danke für die Antwort Zitieren Link zu diesem Kommentar
Dackel77 10 Geschrieben 16. April 2007 Autor Melden Teilen Geschrieben 16. April 2007 hallo, irgendwie steh ich wieder auf dem Schlauch, für smtp habe ich die Weiterleitung auf die entsprechende IP gemacht, klappt auch, der zweite Port muss jedoch auf eine andere IP weitergeleitet werden, also habe ich für den Port 5003 (hoffentlich) alles identisch gemacht wie von Euch oben beschrieben, nur halt mit der anderen internen IP. Aber hier verstehe ich die Syntax noch nicht, wie bekomme ich für den neuen Eintrag eine access-group hin, oder muss ich die irgendwie zusammenfassen für das outside interface? Wenn ich eingebe access-group filemaker in interface outside überschreibt diese ja access-group smtp in interface outside wie sage ich der Pix für das outside-interface also zwei verschiedene Ports auf unterschiedliche interne ips :suspect: ? Irgendwie gibt mir die PIX Syntax Rätsel auf :suspect: . die dazugehörigen access-lists und statics sehen so aus: access-list smtp permit tcp any eq smtp host 217.146.123.123 eq smtp access-list filemaker permit tcp any eq 5003 host 217.123.123 eq 5003 static (inside,outside) tcp 217.146.123.123 smtp 192.168.13.6 smtp netmask 255.255.255.255 0 0 static (inside,outside) tcp 217.146.123.123 5003 192.168.13.3 5003 netmask 255.255.255.255 0 0 Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 16. April 2007 Melden Teilen Geschrieben 16. April 2007 Du kannst nur eine Accessliste pro Interface haben, deswegen musst du aus den beiden ACLs eine machen z.B.: ! static (inside,outside) tcp 217.146.123.123 smtp 192.168.13.6 smtp netmask 255.255.255.255 0 0 static (inside,outside) tcp 217.146.123.123 5003 192.168.13.3 5003 netmask 255.255.255.255 0 0 ! access-list acl_outside permit tcp any host 217.146.123.123 eq smtp access-list acl_outside permit tcp any host 217.146.123.123 eq 5003 ! access-group acl_outside in interface outside Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.