Jump to content

Icmp ?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin,

 

hab mal wieder ein kleines Problemchen beim Kunden.

Ich versuch es zu beschreiben.

Wenn er auf bestimmte Internet-Seiten will werden diese Seiten nicht geladen. z.B. wenn er auf t-online.de geht, lädt die Startseite. Wenn er von da aus in die Unterrubriken rein will, wird nur Header und so geladen, der Inhalt aber nicht.

Hab mit meinem Schläppi ausprobiert... in seinem Netzwerk passiert bei mir dasgleiche, bei mir im Büro geht alles einwandfrei.

 

Kunde hat eine Cisco Pix (506 glaub ich) als Firewall.

Ich vermute, dass weil die Drittanbieter auf der T-Online Seite mit der Werbung und so ihre Cookies setzen wollen und vermuttlich so Informationen wie IP-Adresse, Domänename, Browsertyp oder BS sammeln wollen werden diese Requests von der Pix aufgehalten.

Es ist auch sehr schön und meiner Meinung nach auch sinnvoll.

Problem ist, dass es Seiten im Netz gibt auf die der Kunde unbedingt drauf muss, um z.B. einen Flieger zu buchen und so.

 

Ich dacht es liegt vielleicht an ICMP und hab es temporär gänzllich erlaubt (bitte nicht steinigen). Hat nur leider nichts gebracht.

Hat jemand eine Idee was ich noch machen kann?

 

Falls nötig - ich hab die Conf von der Pix da.

 

Danke vorab

 

Gruß

 

Arkijack

Link zu diesem Kommentar

Hallo Otaku,

 

ganze conf passt nicht, ich mach 2 draus :)

 

hab ein paar Sachen am Schluß weggelassen und natürlich IP´s manipuliert

Building configuration...

: Saved

:

PIX Version 6.3(5)

interface ethernet0 auto

interface ethernet1 auto

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password xxx encrypted

passwd xxx encrypted

hostname xx-host

domain-name xx-domain

clock timezone CEST 1

clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00

fixup protocol dns

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

no fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

no fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

name IP-1 host1

name IP-2 Host-2

name IP-3 Host-3

name IP-4 Host-4

name IP-5 Host-5

access-list inside_outbound_nat0_acl permit ip 172.16.104.0 255.255.255.0 Host-2 255.255.255.0

access-list inside_outbound_nat0_acl permit ip 172.16.104.0 255.255.255.0 Host-3 255.255.255.0

access-list inside_outbound_nat0_acl permit ip 172.16.104.0 255.255.255.0 Host-4 255.255.255.0

access-list inside_outbound_nat0_acl permit ip 172.16.104.0 255.255.255.0 Host-5 255.255.0.0

access-list inside_outbound_nat0_acl permit ip 172.16.104.0 255.255.255.0 172.16.104.240 255.255.255.240

access-list inside_outbound_nat0_acl permit ip 172.16.104.0 255.255.255.0 172.16.104.232 255.255.255.248

access-list inside_outbound_nat0_acl permit ip any 172.16.104.240 255.255.255.240

access-list inside_outbound_nat0_acl permit ip any 172.16.104.232 255.255.255.248

access-list inside_access_in permit ip 172.16.104.0 255.255.255.0 any

access-list inside_access_in permit icmp 172.16.104.0 255.255.255.0 any

access-list inside_access_in deny icmp any any log

access-list inside_access_in deny ip any any log

access-list outside_cryptomap_40 permit ip 172.16.104.0 255.255.255.0 Host-2 255.255.255.0

access-list outside_cryptomap_40 permit icmp 172.16.104.0 255.255.255.0 Host-2 255.255.255.0

access-list outside_access_in permit ip 172.16.104.0 255.255.255.0 any

access-list outside_access_in permit icmp 172.16.104.0 255.255.255.0 any log

access-list outside_access_in permit ip Host-5 255.255.0.0 any

access-list outside_access_in permit icmp Host-5 255.255.0.0 any

access-list outside_access_in permit ip host 172.16.224.131 any

access-list outside_access_in permit icmp host 172.16.224.131 any

access-list outside_access_in permit ip Host-2 255.255.255.0 172.16.104.0 255.255.255.0

access-list outside_access_in permit icmp Host-2 255.255.255.0 172.16.104.0 255.255.255.0

access-list outside_access_in permit icmp Host-3 255.255.255.0 172.16.104.0 255.255.255.0

access-list outside_access_in permit ip Host-3 255.255.255.0 172.16.104.0 255.255.255.0

access-list Admin-FFM_splitTunnelAcl permit ip 172.16.104.0 255.255.255.0 any

access-list Admin-FFM_splitTunnelAcl permit ip Host-5 255.255.0.0 any

access-list outside_cryptomap_60 permit ip 172.16.104.0 255.255.255.0 Host-3 255.255.255.0

access-list outside_cryptomap_60 permit icmp 172.16.104.0 255.255.255.0 Host-3 255.255.255.0

access-list outside_cryptomap_80 permit ip 172.16.104.0 255.255.255.0 Host-4 255.255.255.0

access-list outside_cryptomap_80 permit icmp 172.16.104.0 255.255.255.0 Host-4 255.255.255.0

access-list outside_cryptomap_10 permit ip 172.16.104.0 255.255.255.0 Host-5 255.255.0.0

access-list outside_cryptomap_10 permit icmp 172.16.104.0 255.255.255.0 Host-5 255.255.0.0

access-list outside_cryptomap_dyn_20 permit icmp any 172.16.104.240 255.255.255.240

access-list outside_cryptomap_dyn_20 permit ip any 172.16.104.240 255.255.255.240

access-list outside_cryptomap_dyn_40 permit icmp any 172.16.104.232 255.255.255.248

access-list outside_cryptomap_dyn_40 permit ip any 172.16.104.232 255.255.255.248

pager lines 24

Link zu diesem Kommentar

und das Zweite Teil

 

.

.

.

logging on

logging trap warnings

logging facility 23

logging host outside 225.128.102.36 format emblem

mtu outside 1380

mtu inside 1500

ip address outside pppoe setroute

ip address inside 172.16.104.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

ip local pool Administrator 172.16.104.232-172.16.104.233 mask 255.255.255.0

ip local pool ttt 172.16.104.244-172.16.104.250 mask 255.255.255.0

pdm location 192.168.1.0 255.255.255.0 inside

pdm location 225.128.102.35 255.255.255.255 outside

pdm location 225.128.102.57 255.255.255.255 outside

pdm location Host-1 255.255.128.0 outside

pdm location Host-2 255.255.255.0 outside

pdm location 192.168.0.0 255.255.192.0 outside

pdm location 225.128.102.36 255.255.255.255 outside

pdm location 172.16.130.34 255.255.255.255 outside

pdm location 172.16.224.131 255.255.255.255 outside

pdm location 172.16.130.0 255.255.255.0 outside

pdm location 192.168.5.0 255.255.255.0 outside

pdm location 225.128.102.34 255.255.255.255 outside

pdm location 172.16.24.131 255.255.255.255 outside

pdm location Host-3 255.255.255.0 outside

pdm location Host-4 255.255.255.0 outside

pdm location Host-5 255.255.0.0 outside

pdm location 136.266.189.144 255.255.255.240 outside

pdm location 172.16.104.0 255.255.255.0 outside

pdm location 172.16.104.240 255.255.255.248 outside

pdm location 172.16.104.232 255.255.255.248 outside

pdm location 172.16.104.240 255.255.255.240 outside

pdm location 172.16.104.0 255.255.255.128 inside

pdm location 172.16.104.128 255.255.255.128 outside

pdm logging warnings 100

pdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 0 access-list inside_outbound_nat0_acl

nat (inside) 1 0.0.0.0 0.0.0.0 dns 0 0

access-group outside_access_in in interface outside

access-group inside_access_in in interface inside

timeout xlate 0:05:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout sip-disconnect 0:02:00 sip-invite 0:03:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server TACACS+ max-failed-attempts 3

aaa-server TACACS+ deadtime 10

aaa-server RADIUS protocol radius

aaa-server RADIUS max-failed-attempts 3

aaa-server RADIUS deadtime 10

aaa-server LOCAL protocol local

aaa authentication enable console LOCAL

aaa authentication http console LOCAL

aaa authentication ssh console LOCAL

aaa authentication telnet console LOCAL

ntp server 197.55.103.104 source outside prefer

http server enable

http 225.128.102.35 255.255.255.255 outside

http 225.128.102.57 255.255.255.255 outside

http 225.128.102.34 255.255.255.255 outside

http 136.266.199.144 255.255.255.240 outside

http 172.16.104.0 255.255.255.0 inside

snmp-server location hier

snmp-server contact ich

snmp-server community public

no snmp-server enable traps

tftp-server outside 215.128.102.36 /firma/ordner

floodguard enable

sysopt connection tcpmss 0

sysopt connection permit-ipsec

sysopt noproxyarp outside

crypto ipsec transform-set

crypto map outside_map

isakmp

vpngroup

ssh

.

.

.

 

: end

[OK]

 

Danke noch mal

Link zu diesem Kommentar

Hallo,

 

das wird kein Pix Problem sein - das wird viel viel eher ein MTU Problem sein. Ich würde als erstes mal die MTU auf dem Outside Interface der PIX mal überprüfen - sehe gerade 1380 - hast du da schon dran gedreht - ist kein wirklich überlicher Wert. So tief - das die PIX Cookies oder so "blocken" kann - geht die 506 definitiv nicht (und ICMP blockt sie default) - und das ist 100% nicht dein Problem. Was hast du den für einen Provider - was für ein Modem davor ? Der Rest der config ist "standard" alla Wizard - da sollte es kein Problem geben.

Link zu diesem Kommentar

Hi,

 

Jetzt wo du es sagst.

Der Kunde sagte mal, dass es Probleme bei der Telekom gab (ist der Provider) und der frühere Admin wohl die Packetgrößen anpassen musste.

Vielleicht liegt es ja da dran.

So nach dem Moto: "Telekom stellt wieder alles wie früher ein und gibt wie immer nicht Bescheid"

 

als Modem ist irgend ein D-Link dran, weiß genau nicht ausm Kopf

 

Wie hoch soll MTU-Wert sein? 1480?

 

Danke

Link zu diesem Kommentar

Moin,

 

hab heute beim Kunden mit den Werten von MTU rumgespielt, ohne erfolg.

Dann hab ich gesehen dass gesehen:

 

access-list outside_access_in permit icmp 172.16.104.0 255.255.255.0 any log

 

ist ja in der Config weiter oben drin...

 

die Adresse ist ja Interne, dacht ich und hab die dann auf Outside-Interface umgestellt, dabei wurde die Externe Feste IP in die Liste reingeschrieben (hab via PDM gemacht).

Danach ging alles. Ich dacht mir es ist aber in dem Moment nicht wirklich gut wenn der gesamte ICMP-Verkehr durch geht.

 

Oder was meint Ihr, kann ich es irgendwie beschränken?

 

Danke nochmal

Link zu diesem Kommentar

Wie gesagt - für http oder ähnlichen Traffik brauchst du kein ICMP - wenn du ICMP erlaubst (das was die meisten FW default mässig haben) - kann man halt rein/raus/ping/trace und Co. machen - ob man es offen läßt oder nicht ist eher eine Philosopie Frage. Zu ist besser - aber im Diagnose sollte man halt dran denken. Es kann natürlich sein - das dein Regelwerk einfach aus was für einem Grund auch "kuddel" "Muddel" war obwohl alles gut aussieht - schonmal vorher ne Reboot gemacht gehabt ?

Link zu diesem Kommentar

Hi,

 

Ja reboot hatte ich vorher schon gemacht, hat nichts genutzt.

Mein Problem ist, dass ich mich noch nicht so lange mit der Pix beschäftige. Zu dem wurde die Pix beim Kunden vor meiner Zeit von einem anderen Admin eingerichtet.

Nach meinem Verständnis sah die config eben gut aus.

Da einzige Problem war eben diese I-Net Seiten die scheinbar via Cookies was abfragen.

Das mit ICMP hab ich auch so gelernt, dass man eben für Verbindungs-daignose gut gebrauchen kann und primär für die internet Verbindung aber nicht wirklich relevant ist.

Was mich aber echt verunsichert hat, ist dass die I-Net seiten funktionieren wenn ich es "access-list outside_access_in permit icmp interface outside any" mach.

Deshalb hab ich auch einen Rat gesucht.

Und ich muss echt sagen, ich finde die Reaktionszeiten hier im Forum genial :)

 

Ich danke euch

Link zu diesem Kommentar
  • 3 Wochen später...

Moin,

 

wo langsam versteh ich hier die Welt nicht mehr...

Hab seit dem letzten Mal an der Pix nichts verändert und es funkts wieder nicht...

Ich dacht zuerst, vielleicht liegt es an den Benutzer-Richtlinien, oder an MTU von T-com business, oder so. ABER

Es gibt 1 Rechner im Netz bei dem es funktioniert. Bei dem ist nichts anderes eingerichtet.

Total irre.

 

bin für jeden guten Gedanken dankbar.

 

Gruß

Link zu diesem Kommentar
Moin,

 

wo langsam versteh ich hier die Welt nicht mehr...

Hab seit dem letzten Mal an der Pix nichts verändert und es funkts wieder nicht...

Ich dacht zuerst, vielleicht liegt es an den Benutzer-Richtlinien, oder an MTU von T-com business, oder so. ABER

Es gibt 1 Rechner im Netz bei dem es funktioniert. Bei dem ist nichts anderes eingerichtet.

Total irre.

 

bin für jeden guten Gedanken dankbar.

 

Gruß

 

 

Hast Du mal den ARP Cache im client gelöscht? Hat bei mir geholfen...

Edit: Selbstverständlich an dem Rechner, wo es nicht geht.

Bekommen die clients Ihre IP via DHCP?

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...