hoffi- 10 Geschrieben 21. März 2006 Melden Teilen Geschrieben 21. März 2006 hallo hab mich mal wieder an meine PIX (501) gewagt. bin normaler tdsl-kunde, also keine feste IP. und nun moechte die pix so konfigurieren das ich trotzdem dyndns.org nutzen kann. habe also die entsprechenden updater auf die einzelnen rechner installiert und versuch den port freizugeben. nun passiert leider etwas extrem seltsames : nach jedem IP-wechsel (alle 24 std. ca) hat die pix im outline eine neue externe ip und vergisst die anderen zu loeschen bzw. die regel die auf outline erstellt ist ist nicht mehr gueltig. kann einer helfen ? ich denke mal das ich das nat nicht richtig konfiguriert habe. fuer jede hilfe dankbar hoffi Zitieren Link zu diesem Kommentar
s21it21 10 Geschrieben 21. März 2006 Melden Teilen Geschrieben 21. März 2006 hallo, es würde extrem helfen, wenn du die pix-version angibst und vielleicht auch noch sagst, wie du deine internet-verbindung aufbaust (ppoe, dhcp)? Meinst Du, dass die access-liste am outside-interface nicht mehr greift? wenn Du Regeln definiert hast, die auf die externe IP der PIX zugeschnitten sind, ist klar, dass diese nicht mehr funktionieren, da ja die PIX nun eine neue IP bekommen hat. Wenn Du das meinst, ist das ja klar. Aber trotzdem sollten die Regeln bei "wr t" (in der cli) sichtbar sein. Welche Regeln hast Du denn am outside-interface definiert? Ausser einer any-any-drop-rule + logging (die pix droppt von haus aus alle inbound verbindungen), würden die regeln bei einer dynamischen ip sowieso nichts bringen. lg Martin Zitieren Link zu diesem Kommentar
hoffi- 10 Geschrieben 21. März 2006 Autor Melden Teilen Geschrieben 21. März 2006 hallo martin, danke erstmal fuer das posting hoffe du kannst mir helfen. hier male configuration in ich nutze t-online als dsl-anbieter Building configuration... : Saved : PIX Version 6.3(3) interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password XXXXXXX encrypted passwd XXXXXXXXX encrypted hostname XXXX domain-name XXXXXX.com clock timezone CEST 1 clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00 fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list ifout permit tcp any any access-list ifout permit udp any any access-list ifout permit icmp any any echo-reply access-list ifout permit icmp any any source-quench access-list ifout permit icmp any any unreachable access-list ifout permit icmp any any time-exceeded access-list icmp_acl permit tcp any any access-list icmp_acl permit udp any any access-list icmp_acl permit icmp any any echo access-list icmp_acl permit icmp any any echo-reply access-list icmp_acl permit icmp any any source-quench access-list icmp_acl permit icmp any any unreachable access-list icmp_acl permit icmp any any time-exceeded access-list icmp_acl permit icmp any any traceroute access-list icmp_acl permit tcp interface outside range 4242 4243 host 84.191.251.239 range 4242 4243 pager lines 24 FORTSETZUNG Zitieren Link zu diesem Kommentar
hoffi- 10 Geschrieben 21. März 2006 Autor Melden Teilen Geschrieben 21. März 2006 FORTSETZUNG logging on logging timestamp logging trap warnings logging history warnings logging facility 23 logging host inside 192.168.1.1 mtu outside 1492 mtu inside 1500 ip address outside pppoe setroute ip address inside 192.168.1.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm location 192.168.1.5 255.255.255.255 inside pdm location 192.168.1.20 255.255.255.255 inside pdm location 84.191.210.51 255.255.255.255 outside pdm location 84.191.239.124 255.255.255.255 outside pdm location 192.168.1.7 255.255.255.255 inside pdm location 84.191.212.192 255.255.255.255 outside pdm logging informational 100 pdm history enable arp timeout 14400 global (outside) 10 interface nat (inside) 10 0.0.0.0 0.0.0.0 0 0 static (inside,outside) tcp interface 5905 192.168.1.5 5905 netmask 255.255.255.255 0 0 static (inside,outside) udp interface 5805 192.168.1.5 5805 netmask 255.255.255.255 0 0 static (inside,outside) tcp interface 4242 192.168.1.7 4242 netmask 255.255.255.255 0 0 static (inside,outside) udp 84.191.212.192 4252 192.168.1.7 4252 netmask 255.255.255.255 0 0 static (inside,outside) tcp 84.191.212.192 5907 192.168.1.7 5907 netmask 255.255.255.255 0 0 static (inside,outside) udp 84.191.212.192 5807 192.168.1.7 5807 netmask 255.255.255.255 0 0 static (inside,outside) tcp 84.191.251.239 8888 192.168.1.20 8888 netmask 255.255.255.255 0 0 static (inside,outside) tcp 84.191.251.239 8481 192.168.1.20 8481 netmask 255.255.255.255 0 0 access-group icmp_acl in interface outside access-group ifout in interface inside timeout xlate 0:05:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local http server enable http 192.168.1.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt noproxyarp outside sysopt noproxyarp inside telnet timeout 5 ssh timeout 5 console timeout 0 vpdn group pppoe_group request dialout pppoe vpdn group pppoe_group localname XXXXXXXXX#0001@t-online.de vpdn group pppoe_group ppp authentication pap vpdn username XXXXXXXXXXX#0001@t-online.de password ********* dhcpd lease 3600 dhcpd ping_timeout 750 username xxxxx password xxxxxx encrypted privilege 15 terminal width 80 Cryptochecksum:xxxxxxx : end [OK] vielen danke fuer eure hilfe Zitieren Link zu diesem Kommentar
s21it21 10 Geschrieben 22. März 2006 Melden Teilen Geschrieben 22. März 2006 hallo, am eines ist mir mal sofort aufgefallen: Du hast die access-liste: access-list icmp_acl permit tcp any any access-list icmp_acl permit udp any any access-list icmp_acl permit icmp any any echo access-list icmp_acl permit icmp any any echo-reply access-list icmp_acl permit icmp any any source-quench access-list icmp_acl permit icmp any any unreachable access-list icmp_acl permit icmp any any time-exceeded access-list icmp_acl permit icmp any any traceroute access-list icmp_acl permit tcp interface outside range 4242 4243 host 84.191.251.239 range 4242 4243 Diese ist am OUTSIDE Interface gebunden. Dir ist schon klar, dass Du tcp und udp komplett OFFEN hast!! So wo liegt denn nun das Problem? Deine statics sind so konfiguriert, dass die IP 84.191.212.192 verwendet bzw. die externe-IP vom Interface verwendet wird. So weit so gut. Ist die 84.191.212.192 eine Deiner pupIPs, oder ist das eine von denen die immer wechselt. Wenn diese nicht mehr aktuell ist, weil eben die IPs wechseln, dann ist klar, dass das nicht funktioniert. Die Access-Lists sind zwar vorhanden, die statics greifen aber nicht mehr, da ja die pupIP sich von Dir geändert hat. Du müsstes also ALLE statics immer mit dem interface verwenden. Dann passen sich diese an die NEUE pupIP von Dir an. Wichtig ist auch noch, dass Du dann bei den statics auch noch die Ports angibts, aber das machst Du ja e schon. LG Martin Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.