Gori 10 Geschrieben 8. Februar 2004 Melden Teilen Geschrieben 8. Februar 2004 Hallo leute! folgendes problem habe mit einer pix 506E, ich hoffe jemand kann mir hier helfen... sdsl router: öffentlich ip: xxx edit by Scooby interne IP: 134.0.0.2 alles auf 134.0.0.1 weitergeleitet. PIX506E: outside: 134.0.0.1 inside: 135.0.0.1 server: ip: 135.0.0.2 ...die pakete kommen übers netz, aber die beiben auf der pix hängen, und werden net weitergeleitet, was habe ich den falsch gemacht? konfig kann auch mal posten falls erforderlich... pix ist richtig konfiguriert, hat schonmal funktionert... ich schätze mir fehlt irgendwo einen route eintrag, ich komme aber net mehr weiter... *allesschwarzvoraugen* danke Zitieren Link zu diesem Kommentar
utix 10 Geschrieben 8. Februar 2004 Melden Teilen Geschrieben 8. Februar 2004 poste doch mal die configs Zitieren Link zu diesem Kommentar
Gori 10 Geschrieben 8. Februar 2004 Autor Melden Teilen Geschrieben 8. Februar 2004 Danke ;) Building configuration... : Saved : PIX Version 6.3(1) interface ethernet0 10full interface ethernet1 auto nameif ethernet0 outside security0 nameif ethernet1 inside security100 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol ils 389 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 names name 134.0.0.3 WebServer name 134.0.0.4 FTP access-list 100 permit icmp any any access-list 100 permit ip any any access-list 100 permit icmp any any unreachable access-list 100 permit tcp any host WebServer eq www access-list 100 permit ip any host WebServer access-list 100 permit tcp any host FTP eq ftp access-list 100 permit ip any host FTP pager lines 24 logging console debugging mtu outside 1500 mtu inside 1500 ip address outside 134.0.0.1 255.255.255.0 ip address inside 135.0.0.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm location 135.0.0.2 255.255.255.255 inside pdm location 135.0.0.4 255.255.255.255 inside pdm location WebServer 255.255.255.255 outside pdm location FTP 255.255.255.255 outside pdm logging informational 100 pdm history enable arp timeout 14400 global (outside) 1 134.0.0.15-134.0.0.253 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) WebServer 135.0.0.2 netmask 255.255.255.255 0 0 static (inside,outside) FTP 135.0.0.4 netmask 255.255.255.255 0 0 access-group 100 in interface inside route outside 0.0.0.0 0.0.0.0 134.0.0.2 1 timeout xlate 0:05:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local http server enable http 135.0.0.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 : end [OK] Zitieren Link zu diesem Kommentar
mr._oiso 10 Geschrieben 8. Februar 2004 Melden Teilen Geschrieben 8. Februar 2004 Hi Gori Wenn ich mir die Config so ansehe, sieht sie soweit schon ganz gut aus ! Der route Eintrag "route outside 0.0.0.0 0.0.0.0 134.0.0.2 1" ist auch richtig ! Aber was genau möchtest Du hiermit tun: "global (outside) 1 134.0.0.15-134.0.0.253" ????????????? Gruss mr._oiso Zitieren Link zu diesem Kommentar
Gori 10 Geschrieben 8. Februar 2004 Autor Melden Teilen Geschrieben 8. Februar 2004 hallo! ...bin nach dem "Cisco" beispielen gegangen... dachte es wäre richtig... habe schonmal "global (outside) 1 interface", aber dann kommt keiner mehr ins internet... aber zurück zu mein problem: laut log der pix kommen die pakete an, un die pix gibt folgende fehlermeldung raus: "tcp request discarded from 195.xxx.xxx.xxx to 134.0.0.1/www" unser provider meinte daß es daran liegen könnte daß der router schon NAT macht, und wenn die pix das nochmal macht daß es nicht gut wäre... hat er recht? ich weiß jetzt garnet mehr weiter... habe alles gelöscht, nochmal eingegeben und access-listen für "innen nach aussen" und für "aussen nach innen", aber das einzige was ich erreiche ist daß die anfragen vom LAN zum I-NET gehen, aber nicht andersrum, die landen alle auf der pix... kann sich das irgendwer mal erklären? Danke Zitieren Link zu diesem Kommentar
Gori 10 Geschrieben 9. Februar 2004 Autor Melden Teilen Geschrieben 9. Februar 2004 hat denn keiner mehr nen tipp für mich??? :( Gruß Gori Zitieren Link zu diesem Kommentar
scooby 10 Geschrieben 9. Februar 2004 Melden Teilen Geschrieben 9. Februar 2004 Hi, ich kann dir das leider auch nichts 100% sagen. Aber wenn dir dein Provider sagt es kann daran liegen, das du 2 mal nattest in deinem LAN, dann würde ich das so schnell wie möglich abstellen. Bedeutet: du sagst auf deinem Router der soll kein PAT mehr machen, sondern alle Anfragen aus dem Inet an die Pixs weiter reichen. PAT=Port Adress Translation. Heißt dein Router soll die Ports nehmen, die die PIX´s festlegt und nur immer in deem IP-Header die IP-Adresse tauschen. Zitieren Link zu diesem Kommentar
Gori 10 Geschrieben 9. Februar 2004 Autor Melden Teilen Geschrieben 9. Februar 2004 @scooby Danke so, ich habe jetzt die lösung auf all meine probleme.. kriege vom provider nen 4er netz für die außenstelle und ein 32er netz für die innenstelle erstellt... so habe ich dann echte ips im lan und habe diese probleme dann nicht mehr.. außerdem werden alle ports und anfragen an die pix weitergeleitet und kann selber da entscheiden was rein kann und was nicht... kostet zwar 150€ das umzusetzen, aber das ist mir wert... danke für die mithilfe... Zitieren Link zu diesem Kommentar
THS 10 Geschrieben 13. Februar 2004 Melden Teilen Geschrieben 13. Februar 2004 Original geschrieben von Gori sdsl router: öffentlich ip: xxx edit by Scooby interne IP: 134.0.0.2 alles auf 134.0.0.1 weitergeleitet. Hallo Gori, falls das wirklich Deine öffentliche IP ist, würde ich sie nicht im Internet publizieren. Auf jedenfall solltest Du einige Ports, z.B. ICMP, Telnet, etc , sperren. DENK AN DIE SICHERHEIT IN DEINEM NETZ Gruß Thomas Zitieren Link zu diesem Kommentar
xyCruiseryx 10 Geschrieben 13. Februar 2004 Melden Teilen Geschrieben 13. Februar 2004 ich schliesse mich meinem vorredner an...ich kann zu dir lock die telnet session aufbauen und n angriff über icmp ist net schwer.....das nächste mal n bissel besser aufpassen und das posting löchen...... Zitieren Link zu diesem Kommentar
Gori 10 Geschrieben 14. Februar 2004 Autor Melden Teilen Geschrieben 14. Februar 2004 danke für die hilfe... ip adresse ist vom provider geändert worden... sicherheitsmaßnahmen sind auch getroffen worden... gruß gori Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.