PIX Konfigurations Problem

[dormi98 15]

Hallo!

 

Ich fange gerde erst an mich mit den Cisco Sachen zu beschäftigen und habe hier zu Testzwecken eine PIX 515. Habe damit ein so triviales Problem das es mir schon fast peinlich ist es hier zu posten, aber ich komm einfach nicht weiter. Keine Sorge hab nur so viel geschrieben damit keine Irrtümer aufkommen.

 

so sieht das setup aus:

 

 

PC--------|intern int -PIX- extern int|---------|int fa0/1 -Router- int fa0/0|

 

IP Adressen:

Alle mit 24 bit subnet mask

 

PC: 222.222.222.20

PIX intern: 222.222.222.1

PIX extern: 200.200.200.2

Router fa0/1: 200.200.200.1

Router fa0/0: 100.100.100.1

 

Außerdem ist auf der PIX noch ein Interface (config) mit der IP 210.210.210.1 das aber nur zum konfigurieren mit der GUI verwendet wird.

 

Das Problem ist einfach dass ich von dem PC aus das extern Interface der PIX (und natürlich auch alles was dahinter liegt) nicht pingen kann. Ein ping auf das interne funktioniert. Ein Ping von der PIX aus abgesetzt funktioniert überall hin. Es dürfte also an der PIX liegen.

 

Ein debug icmp trace 1 zeigt auch dass der ping (zum externen int) vom PC bis zur PIX kommt.

 

Am PC ist klarerweise die 222.222.222.1 als def Gateway eingetragen.

 

Was muss ich an der PIX Konfiguration ändern damit das geht?

 

hier noch die aktuelle Konfig:

 

PIX Version 7.0(2)

names

!

interface Ethernet0

nameif config

security-level 100

ip address 210.210.210.1 255.255.255.0

!

interface Ethernet1

nameif extern

security-level 100

ip address 200.200.200.2 255.255.255.0

!

interface Ethernet2

nameif intern

security-level 100

ip address 222.222.222.1 255.255.255.0

!

interface Ethernet3

shutdown

no nameif

no security-level

no ip address

!

interface Ethernet4

shutdown

no nameif

no security-level

no ip address

!

interface Ethernet5

shutdown

no nameif

no security-level

no ip address

!

enable password xxxxx

passwd xxxxxx

hostname pixfirewall

domain-name default.domain.invalid

ftp mode passive

same-security-traffic permit inter-interface

object-group service all tcp-udp

port-object range 1 9999

access-list 101 standard permit 210.210.210.0 255.255.255.0

access-list 102 extended permit ip any any

pager lines 24

mtu config 1500

mtu extern 1500

mtu intern 1500

no failover

monitor-interface config

monitor-interface extern

monitor-interface intern

icmp permit any extern

icmp permit any intern

asdm image flash:/asdm-502.bin

no asdm history enable

arp timeout 14400

nat (config) 0 0.0.0.0 0.0.0.0

route extern 0.0.0.0 0.0.0.0 200.200.200.1 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00

timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

http server enable

http 210.210.210.0 255.255.255.0 config

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp

telnet timeout 5

ssh timeout 5

console timeout 0

Cryptochecksum:f9d642f70e9104175c837cf8420bfc2a

: end

 

 

 

Achja noch ein kleinigkeit: Gibt es irgendeinen Command mit dem man die ganzen Security Features einfach ein/ausschalten kann?

Vielen Dank im Voraus

__________

not the sky ist the limit,

....the ground is.

[s21it21 10]

Hallo!

 

Du kannst per Design nicht das andere Interface der Pix pingen. Das geht einfach nicht.

Man kann immer NUR das direkte Interface pingen.

Wenn Du also hinter dem Inside-LAN hängst, kannst Du NUR das Inside-Interface der Pix pingen.

 

Wenn Du Durch die PIX durch pingen willst (Internet, etc.), dann musst Du das so machen.

 

Prinzipiell ist das Sicherheitskonzept der PIX so:

 

Inside = Höhere Sicherheitsstufe

Outside= Niedrigste Sicherheitsstufe

 

Alles darf grundsätzlich von der höheren zur niedrigeren Stufe durch. Da brauchst Du grundsätzlich KEINE Access-list machen (ist aber absolut nicht zu empfehlen).

 

Was Du schon machen musst, ist irgend eine Übersetzung der privaten IPs in pupIPs bzw. eine Übersetzung der privaten IPs in die externe IP der Firewall. Nur dann kann der Datenverkehr im Internet geroutet werden und Du kannst surfen.

 

Wie man nattet hängt wiederum von Deinen Bedürfnissen ab. Da gibt es auf der PIX wieder mehrer Möglichkeiten:

 

1) static

2) Nat

3) Pat

 

Wenn Du am Inside-Interface keine Access-liste gemacht hast, dann kann JEDER Traffic raus (da ja das Inside-Interface die höhere Sicherheitsstufe hat). Damit sollte auch icmp durchgehen.

Wenn Du eine Access-Liste am Inside-Interface gemacht hast, dann musst Du auch icmp dafür freischalten.

 

Ich glaube, dass Dein Problem ist, dass Du einfach überhaupt nicht ins Internet raus kommst, richtig?

 

Weiters ist mir in Deiner Konfig aufgefallen, dass Du zwar access-listen konfiguriert hast, diese aber auf kein Interface gebunden sind (access-group). Somit greifen Deine Access-listen absolut nicht.

 

Ich würde vorschlagen, dass Du mal mit dem PDM (=WebGUI) den Wizard durchmachst. Der richtet dabei automatisch ein NAT ein. Somit solltest Du mal Internetsurfen und auch pingen können. Die Feinheiten macht man dann am besten über die Kommandozeile (der PDM ist nicht gerade optimal).

 

Befehle, wo Du die PIX komplett deaktivieren kannst (damit eben einfach alles geht), gibt es in diesem Sinne nicht.

Du musst zumindest das Natting mal einrichten. Um alles mal zu testen, ist dann am Inside-Interface entweder gar keine Access-List nötig oder Du trägst access-list xxx permit ip any any ein...Dann geht auch alles durch die PIX durch.

 

Ich hoffe Dir ein wenig geholfen zu haben.

 

lg

Martin

[dormi98 15]

Du hast mir nicht nur ein wenig geholfen, sondern extrem!!! Ist wirklich viel klarer als zuvor.

 

Das Ding hängt hier bei mir überhaupt nicht am Internet, da ich damit lediglich verschiedene Tests mache. Das sollte aber keine Rolle spielen, da ich ja so auch irgendwelche pub IP adressen nehmen kann.

 

Nochmals vielen Dank - ich werd in den nächsten Tagen damit rumspielen.

:thumb1:

Frage beantwortet - Thread closed