Pix Software Version 4.4 = 50 has a lower securtiy level than inside 100

[Esta 114]

Hallo,

 

ich versuche eine PIX-Config (aus Version 4.2) nach Version 4.4 zu "migrieren"..

 

Beispiel Kommandos unter 4.2

 

static (inside,PM) vert1nat vert1 netmask 255.255.255.255

static (PM,inside) vert1 vert1nat netmask 255.255.255.255

 

securitylevel inside ist 100

securitylevel PM ist 50

 

Nun die Kommandos unter 4.4:

static (inside,PM) vert1nat vert1 netmask 255.255.255.255

--> kein Prob, Kommando wird eingetragen

 

static (PM,inside) vert1 vert1nat netmask 255.255.255.255

--> Kommando wird nicht eingetragen, Meldung: PM 50 has a lower security level than inside 100

 

Wie bekomme ich nun das Kommando eingetragen? Die Security-levels möchte ich nicht ändern...

 

Danke für die Hilfe ... Warum die o. g. Kommandos so gesetzt wurden, weiß ich heute nicht mehr, hat ein externer Berater so eingestellt.

 

Ach so, Die Kommandos nat (inside) 1 0.0.0.0 0.0.0.0 0 0 und nat (PM) 1 0.0.0.0 0.0.0.0 0 0 sind in beiden (4.2 und 4.4) Configs auch enthalten..

[s21it21 10]

Hallo!

 

Also auf der PIX hast Du immer verschiedene Security-Level.

 

Inside ist, soweit man das nicht umdreht, IMMER der höchste Level, alles andere ist dann darunter.

 

der Static lautet grundsätzlich so:

 

static (höhererLevel,niedrigererLevel), intIP natIp etc.

 

Warum gehst Du nicht auf die aktuelle Version zb. 6.3(5) (IOS7 gibt es auch so). Alles unter 6.3(x) würde ich nicht mehr einsetzen!! Da gibt es gewaltige Security-Löcher.

 

Bzw. was willst Du denn mit dem einen Static überhaupt anfangen? Soweit ich statics verwenden, so kann man die schon drehen und wenden wie man es braucht (zumindest ab 6.2x)

 

 

Weiters nehme ich an, dass noch conduits verwendet werden. Auch das solltest Du dann auf access-lists umstellen!!!!!

 

 

 

lg

martin