Speedo 10 Geschrieben 10. November 2004 Melden Teilen Geschrieben 10. November 2004 Hallo, Kann mir jemand verraten, warum die Access-List nicht greift? Die "hitcnt" in der Access-List zeigen bei allen Regeln eine 0... Ich kann ungehindert surven... Heißt es nicht, daß die Access-list standartmäßig verbieten, wenn man nichts explizit durchlässt? Es geht um: Cisco PIX Firewall Version 6.1(4) Cisco PIX Device Manager Version 1.1(2) Compiled on Tue 21-May-02 08:40 by morlee mask up 12 secs Hardware: PIX-506E, 32 MB RAM, CPU Pentium II 300 MHz Flash E28F640J3 @ 0x300, 8MB BIOS Flash AM29F400B @ 0xfffd8000, 32KB 0: ethernet0: address is 000a.f43d.9dc7, irq 10 1: ethernet1: address is 000a.f43d.9dc8, irq 11 Licensed Features: Failover: Disabled VPN-DES: Enabled VPN-3DES: Disabled Maximum Interfaces: 2 Cut-through Proxy: Enabled Guards: Enabled Websense: Enabled Inside Hosts: Unlimited Throughput: Limited ISAKMP peers: Unlimited mit folgender Konfiguration: PIX Version 6.1(4) nameif ethernet0 outside security0 nameif ethernet1 inside security100 hostname mask domain-name [Domain] no fixup protocol sip 5060 no fixup protocol skinny 2000 no fixup protocol h323 1720 no fixup protocol rsh 514 no fixup protocol ftp 21 no fixup protocol rtsp 554 no fixup protocol smtp 25 no fixup protocol sqlnet 1521 no fixup protocol http 80 names access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 8080 access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq www access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 443 access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 524 access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 22 access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 134 access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993 access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993 access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq pop3 access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 995 access-list acl_outside deny ip 10.0.0.0 255.255.255.0 host 10.0.0.1 pager lines 24 logging timestamp logging console debugging logging buffered debugging logging trap debugging logging history informational interface ethernet0 10baset interface ethernet1 10baset mtu outside 1500 mtu inside 1500 ip address outside [iPAdresse mit Netmask der PIX] ip address inside 10.0.0.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 0 0 [...] Zitieren Link zu diesem Kommentar
Speedo 10 Geschrieben 10. November 2004 Autor Melden Teilen Geschrieben 10. November 2004 [...] access-group acl_outside in interface outside conduit permit icmp any any route outside 0.0.0.0 0.0.0.0 [iP GATEWAY] 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si p 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable no sysopt route dnat telnet timeout 5 ssh timeout 5 dhcpd address 10.0.0.2-10.0.0.254 inside dhcpd lease 3600 dhcpd ping_timeout 750 dhcpd enable inside terminal width 80 Vielen Dank für eure Hilfe! Ich weiß wirklich nicht mehr weiter... Zitieren Link zu diesem Kommentar
Speedo 10 Geschrieben 11. November 2004 Autor Melden Teilen Geschrieben 11. November 2004 Bitte, es ist wirklich sehr wichtig... Ich habe hier das englische Handbuch zu der o.g. Pix liegen. Meines Erachtens sind die Regeln richtig, zumindest soweit ich das verstanden habe. Kann denn nicht mal jemand einen Blick drauf werfen? Ist doch bestimmt nur ein kleiner Fehler... Zitieren Link zu diesem Kommentar
Speedo 10 Geschrieben 11. November 2004 Autor Melden Teilen Geschrieben 11. November 2004 Ich kapier das nicht... wieso greift die Regel "access-list acl_close deny tcp any any (hitcnt=18)" am inside-Interface, jedoch nicht am outside-Interface?? Muss speziell am Ende einer access-list ein deny all stehen? Ich las irgendwo, daß die Pix nur durchläßt was explizit erlaubt wurde. Dagegen spricht die obige Sache, denn aktuell habe ich in der Pix nur die die obige Access-list am outside interface angebunden, kann jedoch immer noch surfen... Zitieren Link zu diesem Kommentar
IWS-Germany 10 Geschrieben 11. November 2004 Melden Teilen Geschrieben 11. November 2004 Original geschrieben von Speedo Ich kapier das nicht... wieso greift die Regel "access-list acl_close deny tcp any any (hitcnt=18)" am inside-Interface, jedoch nicht am outside-Interface?? Muss speziell am Ende einer access-list ein deny all stehen? Ich Hallö! Sorry, aber ich finde in Deinen Postings die oben zitierte Zeile einfach nicht... Abgesehen davon... meines Wissens hast Du sowieso ein implicite deny any any am Schluss jeder access-list - denke das ist auch bei der PIX gleich. Etwaige Korrekturen nehme ich gerne zur Kenntnis.. Was mir spontan einfällt, ohne die besagte Zeile gefunden zu haben: Hast Du die access-list ans Interface gebunden? Zitieren Link zu diesem Kommentar
Speedo 10 Geschrieben 11. November 2004 Autor Melden Teilen Geschrieben 11. November 2004 Endlich... Danke! ;) Ich habe die Bindung, "access-group acl_outside in interface outside" die auch oben in der conf steht, aufgehoben und eine neue einfache Regel erstellt (eben die deny all) und die statt dessen mit dem inside-interface verbunden, um einfach mal zu testen, was denn überhaupt noch funktioniert. Bisher habe ich folgendes getestet: Anlegen der permit-Regeln und einer Deny-Regel fbtbw-mask(config)# sh access-list access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 8080 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq www (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 443 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 524 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 22 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 134 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq smtp(hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq pop3(hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 995 (hitcnt=0) access-list acl_outside deny ip 10.0.0.0 255.255.255.0 host 10.0.0.1 (hitcnt=0) fbtbw-mask(config)# sh access-group access-group acl_outside in interface outside Ergebnis: Counter zählen nicht hoch, keinerlei Beschränkung durch Regeln Access-List auf Inside-Interface binden: fbtbw-mask(config)# no access-group acl_outside in interface outside fbtbw-mask(config)# access-group acl_outside in interface inside fbtbw-mask(config)# sh access-group access-group acl_outside in interface inside fbtbw-mask(config)#write mem -> Reload Ergebnis:Internet nicht möglich (Proxy not found), Pingen nach draßen nicht möglich, Counter werden nicht hochgezählt ---- >Stand bis hier wie ganz oben ausgegeben <---- Zitieren Link zu diesem Kommentar
Speedo 10 Geschrieben 11. November 2004 Autor Melden Teilen Geschrieben 11. November 2004 -> Test: Anlegen einer einfachen Deny-Regel an Interface outside, die alles verbietet, Liste an inside entfernen fbtbw-mask(config)# access-list acl_close deny tcp any any fbtbw-mask(config)# sh access-list access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 8080(hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq www (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 443 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 524 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 22 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 134 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq smtp(hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq pop3(hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 995 (hitcnt=0) access-list acl_outside deny ip 10.0.0.0 255.255.255.0 host 10.0.0.1 (hitcnt=0) access-list acl_close deny tcp any any (hitcnt=0) fbtbw-mask(config)# no access-group acl_outside in interface inside fbtbw-mask(config)# access-group acl_close in interface outside fbtbw-mask(config)# sh access-group access-group acl_close in interface outside fbtbw-mask(config)#write mem -> Reload Ergebnis: Counter zählen nicht hoch, keinerlei Beschränkung durch Regeln ??? -> Test: die Deny-Regel auf das inside-Interface binden fbtbw-mask(config)# no access-group acl_close in interface outside fbtbw-mask(config)# access-group acl_close in interface inside fbtbw-mask(config)# sh access-group access-group acl_close in interface inside fbtbw-mask(config)#write mem -> Reload Ergebnis: Counter für die "access-list acl_close deny tcp any any (hitcnt=0)"-Regel zählt hoch -> Regel ist richtig. Interessant... Obwohl nur tcp verboten wurde, ist ein Pingen von 10.0.0.2 nach 10.0.01 möglich, jedoch nicht nach extern. -> Deny-Regel am Ende überflüssig? Warum funktioniert diese Regel nicht am outside-Interface??? Source/Target kann bei einer any-any-Regel nicht vertauscht werden. Zuerst abändern der deny-all-Regel in der acl_outside und lösen der Liste acl_close von interface fbtbw-mask(config)# no access-group acl_close in interface inside fbtbw-mask(config)# sh access-group fbtbw-mask(config)# no access-list acl_outside deny ip 10.0.0.0 255.255.255.0 $ fbtbw-mask(config)# access-list acl_outside deny ip any any fbtbw-mask(config)# sh access-list access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 8080(hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq www (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 443 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 524 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 22 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 134 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 993 (hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq smtp(hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq pop3(hitcnt=0) access-list acl_outside permit tcp 10.0.0.0 255.255.255.0 host 10.0.0.1 eq 995 (hitcnt=0) access-list acl_outside deny ip any any (hitcnt=0) access-list acl_close deny tcp any any (hitcnt=18) ---> Stand der Pix jetzt <--- Zitieren Link zu diesem Kommentar
IWS-Germany 10 Geschrieben 11. November 2004 Melden Teilen Geschrieben 11. November 2004 Original geschrieben von Speedo Ergebnis: Counter für die "access-list acl_close deny tcp any any (hitcnt=0)"-Regel zählt hoch -> Regel ist richtig. Interessant... Obwohl nur tcp verboten wurde, ist ein Pingen von 10.0.0.2 nach 10.0.01 möglich, jedoch nicht nach extern. -> Deny-Regel am Ende überflüssig? Warum funktioniert diese Regel nicht am outside-Interface??? Also meines Wissens ist das Pingen deshalb möglich, weil der Ping ICMP benutzt und nicht TCP. Warum das nur in eine Richtung geht, habe ich noch nicht ganz rausgefunden, aber inzwischen seh ich wenigstens schon, dass Du ZWEI Access-listen erstellt hast... (schon mal n Anfang) Die DENY-Regel am Ende kannst Du eigentlich knicken, weil eine implizite DENY-Regel am Ende gesetzt wird, mit der verhindert werden soll, dass man verbotenen Verkehr "vergisst". Zitieren Link zu diesem Kommentar
Speedo 10 Geschrieben 11. November 2004 Autor Melden Teilen Geschrieben 11. November 2004 Okay, das habe ich in meinen Test auch bestätigt gefunden, daß nicht explizit erlaubt auch nicht durch darf. Wenigstens schon mal ein kleiner Lichtblick... Aber mit dem Rest stehe ich völlig im Dunkeln. Wenn Du Dir das Protokoll mal durchliest, wirst Du merken, wo meine Probleme stecken. Kapiere nicht, warum die (Test-)deny-Regel nur am inside-Interface funzt, jedoch nicht am outside... Auch wundert mich, warum die permit-Regeln nicht greifen, sie sind doch nach dem selben/ähnlichen Syntax verfasst, wie es der Kollege in dem anderen Access-List-Posting in seiner Liste gemacht hat. Zitieren Link zu diesem Kommentar
Speedo 10 Geschrieben 13. November 2004 Autor Melden Teilen Geschrieben 13. November 2004 *schieb* Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.