1000dinge 10 Geschrieben 6. Februar 2006 Melden Teilen Geschrieben 6. Februar 2006 Guten Morgen, bei dem Update von 6.3.1 auf 6.3.5 (PIX 525) wurde automatisch die Zeile "fixup protokoll tftp" in die Config eingefügt (hatten wir vorher garnicht drin). Seit dem kommen wir nicht mehr von den Routern hinter der Firewall an unseren TFTP-Server auf der anderen Seite (zur Konfigurationssicherung). Bevor ich die Zeile jetzt einfach wieder rausnehme: kann mir jemand genauer erklären, was diese Zeile bewirkt? Aus der Command-Reference wird mir das nicht richtig klar, bzw. sehe ich dort nicht, was problematisch sein könnte. Ach ja, kein NAT, PAT oder VPN. Auch haben wir keine Änderungen am Regelsatz vorgenommen. Danke und Gruß, Oliver Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 6. Februar 2006 Melden Teilen Geschrieben 6. Februar 2006 fixup protocol tftp PIX Firewall Version 6.3(2) introduced application inspection for Trivial File Transfer Protocol (TFTP). The default port is 69. Use the port-port option to apply TFTP application inspection to a range of port numbers. The PIX Firewall inspects TFTP traffic and dynamically creates connections and translations, if necessary, to permit file transfer between a TFTP client and server with the fixup protocol tftp command. Specifically, the fixup inspects TFTP read request (RRQ), write request (WRQ), and error notification (ERROR). A dynamic secondary channel and a PAT translation, if necessary, are allocated on a reception of a valid read (RRQ) or write (WRQ) request. This secondary channel is subsequently used by TFTP for file transfer or error notification. Only the TFTP server can initiate traffic over the secondary channel, and at most one incomplete secondary channel can exist between the TFTP client and server. An error notification from the server closes the secondary channel. http://www.cisco.com/en/US/customer/products/sw/secursw/ps2120/products_command_reference_chapter09186a00801727a8.html#wp1067379 Zitieren Link zu diesem Kommentar
1000dinge 10 Geschrieben 6. Februar 2006 Autor Melden Teilen Geschrieben 6. Februar 2006 Guten Morgen, das hatte ich ja auch gelesen, aber es hilft mir nicht wirklich weiter. Da steht nichts warum das aktivieren des Fixups dafür sorgen könnte, das eine TFTP-Verbindung nicht mehr klappt. Unter 6.3.1 ohne das Fixup ging es noch. Wie gesagt ich kann das Fixup einfach wieder rausnehmen, vielleicht klappt dann TFTP wieder. Aber ich würde nur gerne verstehen was da passiert sein könnte. Danke und Gruß, Oliver Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 6. Februar 2006 Melden Teilen Geschrieben 6. Februar 2006 Specifically, the fixup inspects TFTP read request (RRQ), write request (WRQ), and error notification (ERROR). Die PIX schaut in den o.g. requests z.B. nach verdaechtigen Strings und blockt sie. Nach was genau sie sucht weiss ich nicht, koennte mir vorstellen dass z.B. Leerzeichen im Dateinamen auch nicht erlaubt sind ... Zitieren Link zu diesem Kommentar
s21it21 10 Geschrieben 6. Februar 2006 Melden Teilen Geschrieben 6. Februar 2006 Hallo, Teste mal ob es wirklich am fixup liegt, dass du nicht mehr hinkommst. Lösche es mal und teste es dann. Bei meiner PIX (501, V6.3(4)) funktioniert tftp mit und auch ohne fixup. lg martin Zitieren Link zu diesem Kommentar
1000dinge 10 Geschrieben 6. Februar 2006 Autor Melden Teilen Geschrieben 6. Februar 2006 Hi Martin, das ist eine nützliche Info. Du hast du recht, ich werde das probieren und mich wieder melden. Danke euch ersteinmal, Oliver Zitieren Link zu diesem Kommentar
1000dinge 10 Geschrieben 7. Februar 2006 Autor Melden Teilen Geschrieben 7. Februar 2006 So, wir haben das fixup protcol tftp rausgenommen und es geht wieder. Verstehen tue ich es nicht, offensichtlich macht die PIX dort wirklich etwas aktives, auch wenn kein NAT, PAT oder VPN im Spiel ist. Aus der Doku geht das meiner Meinung nach nicht hervor. Werde mal unseren Händler fragen. Gruß, Oliver Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 7. Februar 2006 Melden Teilen Geschrieben 7. Februar 2006 •DoS prevention—To prevent a host from opening many invalid connections, a secondary channel is not created if there is an existing incomplete connection between the two hosts. This restriction dictates a client can spoof at most one request. •Penetration prevention—When TFTP request a read or write request, a secondary channel must be opened, and traffic using the secondary channel must be initiated from the server. This restriction prevents the client from creating the secondary connection and then using that connection. Probier mal einen anderen TFTP Server, deiner verhaelt sich vielleicht "falsch" beim oeffnen des 2ten Channels. EDIT: Sorry ... hier noch der Quellenverweis: http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_book09186a0080172852.html Unter Punkt "fixup" stehts. Zitieren Link zu diesem Kommentar
1000dinge 10 Geschrieben 7. Februar 2006 Autor Melden Teilen Geschrieben 7. Februar 2006 Hi Wordo, :) die Doku hab ich eben auch gefunden. Außerdem habe ich mir noch einmal alle Release Notes seit der 6.3(1) vorgenommen. Mit der 6.3(2) wurde das fixup protocol tftp eingeführt. Dieses Fixup ist By-Default an, seit dem werden die bereits von dir genannten Prüfungen durchgeführt. Jetzt versuche ich einen TFTP-Server zu finden, der auch mit aktiviertem fixup arbeitet. Der tftpd32 und die Kiwi CatTools funktionieren dann nicht mehr. Werde mal einige Andere testen. Welche TFTP-Server setzt ihr so ein? @Martin: Da es bei dir in jedem Fall klappt, würde mich natürlich interessieren welchen Server du einsetzt. Gruß, Oliver Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 7. Februar 2006 Melden Teilen Geschrieben 7. Februar 2006 Cisco TFTP Server 1.0 oder den von SolarWinds ... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.