whiggy 10 Geschrieben 28. April 2007 Melden Teilen Geschrieben 28. April 2007 Hi Leute! Seit Gestern habe ich endlich meine PIX 501. Ich hab sie soweit auch schon ganz gut zum laufen gebracht, allerdings ein paar Frage hätte ich an die Experten: Warum wird (auch ohne ACL's) der Ping vom Internet auf mein outside interface zugelassen? Weiss jemand die Befehlsfolge, wie man das verhindern kann? access-list acl_out deny icmp any any access-group acl_out in interface outside Das würde mir logisch erscheinen, funktioniert aber nicht. 2. Frage: Ich möchte gerne übers Internet remote auf die PIX via Telnet zugreifen. Das Zulassen des Ports 23 auf das outside interface brachte leider nicht den gewünschen Erfolg. Zitieren Link zu diesem Kommentar
mullethunter 10 Geschrieben 28. April 2007 Melden Teilen Geschrieben 28. April 2007 Servus und Hallo, vielleicht kann dieser Link weiter helfen: Computer Security Schweiz Gruß Mullethunter Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 29. April 2007 Melden Teilen Geschrieben 29. April 2007 Welche ICMP-Pakete zu den Interfaces der PIX selbst zugelassen wird, kann man über "icmp permit" bzw. "icmp deny" steuern. Willst du z.B. überhaupt keine ICMP-Pakete am Outside-Interface akzeptieren, geht das mit "icmp deny any outside". Zitieren Link zu diesem Kommentar
whiggy 10 Geschrieben 29. April 2007 Autor Melden Teilen Geschrieben 29. April 2007 Welche ICMP-Pakete zu den Interfaces der PIX selbst zugelassen wird, kann man über "icmp permit" bzw. "icmp deny" steuern. Willst du z.B. überhaupt keine ICMP-Pakete am Outside-Interface akzeptieren, geht das mit "icmp deny any outside". JA Danke, bin ich soeben selbst draufgekommen. Aber ich hätte noch 2 andere Fragen: 1.) Ich kann einfach vom LAN die WAN IP nicht pingen. kA warum. Access-Listen wurden erstellt und vom Internet aus gehts ja auch, aber eben nicht vom LAN. 2.) Gibt es noch eine andere Möglichkeit als über VPN die Firewall remote übers Internet per telnet zu warten? Ich Stelle mir vor einfach das Telnet Port auf die WAN IP weiterzuleiten oder so. Aber auch hier haben alle meine Versuche nichts gebracht. So z.b.: access-list inbound permit tcp any interface outside eq 23 Hat jemand Ahnung was da sein könnte? Zitieren Link zu diesem Kommentar
#9370 10 Geschrieben 1. Mai 2007 Melden Teilen Geschrieben 1. Mai 2007 * Telnet auf das Interface mit dem niedrigsten Security Level funktioniert nicht. Das ist per Design so. * Ping vom Inside auf das Outside Intf (oder auch umgekehrt) funktioniert erst mit Version 7.x und die gibt es für die 501er nicht. /#9370 Zitieren Link zu diesem Kommentar
onedread 10 Geschrieben 4. Mai 2007 Melden Teilen Geschrieben 4. Mai 2007 hi Also du kannst du pix über telnet oder ssh fernwarten übers internet. Ich würde aber ssh empfehlen weil der Traffic des oder sogar 3des verschlüsselt wird. weiters kannst du diese Features einfach einschalten indem du folgende Befehle eingibst. ssh IP-ADRESSE NETMASK(von wo die Anfrage kommt) interface (in deinem Fall outside) weil du ja vom Internet aus auf die Pix zugreifen willst. Wildcards sind auch erlaubt. z.B. wenn du 0.0.0.0 0.0.0.0 angibst dann darf jeder auf die zugreifen. Telnet würde ich nur fürs Interne Lan benutzen wenn überhaupt. telnet IP-ADRESSE NETMASK (z.B. 10.10.0.0 255.255.0.0) inside ciao onedread Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.