Portumleitung mit PIX

[sailingtom 10]

Moin,

 

ich bin ein absoluter PIX Anfänger. Ich habe jetzt eine Pix bei einem Kunden stehen und möchte gerne den FTP Service nutzen.

 

Wie kann man denn bei der PIX Ports zu einer internen Adresse umleiten ?

 

Netz:

 

DSL Modem

 

PIX macht PPPOE am externen Port

 

Interne IP 192.168.115.100

 

Jetzt sollte der interne FTP Server (192.168.115.1) von aussen erreicht werden können.

 

Wie geht denn das ?

 

THX for Your help!

[mister2x 10]

Du brauchst einen statischen Eintrag der zB folgendermassen aussehen kann:

 

static (inside,outside) tcp interface 21 192.168.115.1 21 netmask 255.255.255.255 0 0

 

Damit werden eingehende Verbindungen auf dem "outside" Interface auf Port 21 an die interne IP auf dem "inside" Interface weitergeleitet.

 

Vergiss nicht Port 21 in der ACL auf dem outside Interface zu öffnen - ansonsten wird alles gedroppt.

[sailingtom 10]

Hi Mister2x,

 

ich poste mal die config, vielleicht siehst Du ja den Fehler.

 

PIX Version 6.3(3)

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password xxxxxxxxxxxxxxxx encrypted

passwd xxxxxxxxxxxxxxxx encrypted

hostname pix

domain-name home-net.local

clock timezone CEST 1

clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 2000

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

name 192.168.115.1 DN1

name 192.168.115.58 DNNB01

access-list inside_access_in permit ip interface inside interface outside

access-list outside_access_in permit icmp any any

access-list outside_access_in remark FTP Service

access-list outside_access_in permit tcp any range ftp-data ftp host DN1 range ftp-data ftp

access-list outside_access_in remark Webserver

access-list outside_access_in permit tcp any eq www host DN1 eq www

access-list outside_access_in remark HTTPS

access-list outside_access_in permit tcp any range https 444 host DN1 range https 444

access-list outside_access_in remark Terminalservice

access-list outside_access_in permit tcp any eq 3389 host DN1 eq 3389

access-list outside_access_in remark Dameware TCP

access-list outside_access_in permit tcp any range 6129 6130 host DN1 range 6129 6130

access-list outside_access_in remark Dameware UDP

access-list outside_access_in permit udp any range 6129 6130 host DN1 range 6129 6130

access-list outside_access_in remark Emule TCP

access-list outside_access_in permit tcp any range 2109 2110 host DNNB01 range 2109 2110

access-list outside_access_in remark EMULE UDP

access-list outside_access_in permit udp any range 2109 2110 host DNNB01 range 2109 2110

pager lines 24

mtu outside 1500

mtu inside 1500

ip address outside pppoe setroute

ip address inside 192.168.115.100 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm location DN1 255.255.255.255 inside

pdm location DNNB01 255.255.255.255 inside

pdm logging informational 100

pdm history enable

arp timeout 14400

global (outside) 10 interface

global (inside) 1 interface

nat (inside) 10 0.0.0.0 0.0.0.0 0 0

static (inside,outside) DN1 DN1 netmask 255.255.255.255 0 0

static (inside,outside) DNNB01 DNNB01 netmask 255.255.255.255 0 0

access-group outside_access_in in interface outside

access-group inside_access_in in interface inside

timeout xlate 0:05:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server RADIUS protocol radius

aaa-server LOCAL protocol local

http server enable

http 192.168.115.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

telnet timeout 5

ssh timeout 5

management-access inside

console timeout 0

vpdn group pppoe_group request dialout pppoe

vpdn group pppoe_group localname 1und1/xxxx-xxx@online.de

vpdn group pppoe_group ppp authentication pap

vpdn username 1und1/xxxx-xxx@online.de password *********

terminal width 80

Cryptochecksum:f84b8ca4f38cbbd3a22ae01ad5db7fdc

: end

[mister2x 10]

Hast du es schon mal mit dem von mir oben genannten statischen Eintrag probiert?

 

static (inside,outside) tcp interface ftp 192.168.115.1 ftp netmask 255.255.255.255 0 0

 

Die Form, welche du bei deinen statischen Einträgen verwendest, ist mir so nicht geläufig - es wird weder ein Protokoll noch Ports spezifiziert. Die ACL müsste soweit eigentlich passen.

[sailingtom 10]

Sobald ich den Eintarg mache kann ich nicht mehr pingen und komme nicht mehr ins Internet.

 

Zur Verdeutlichung:

 

Netzwerk 192.168.115.0 255.255.255.0

 

INSIDE 192.168.115.99

OUTSIDE PPPOE

 

Grundsätzlich sollen die Clients von INNEN alles dürfen.

Von AUSSEN sollen ein FTP WEB und Exchange Server erreichbar sein.

Ausserdem ein Port für EMULE (hihi)

 

Es soll ein VPN eingerichtet werden.

 

Muss man da jetzt NAT oder PAT oder beides

 

Welche POOLS usw.

 

Wäre nett wenn jemand ne CONFIG hätte die man umstricken kann.