PIX basics

[hegl 10]

Hi,

 

das sollte normalerweise jeder wissen, der sich mit einer PIX befasst, aber jetzt gerate ich etwas ins Schleudern. Bis heute bin ich eigentlich davon ausgegangen, dass eine PIX - im Gegensatz zu einem Router - nicht beim first match aussteigt, sondern die config durchgeht.

Wer weiss mehr?

 

THX.

[Blacky_24 10]

Klaro.

 

Schreibst Du:

 

access-list INSIDE-OUT deny ip any any

access-list INSIDE-OUT permit ip any any

access-group INSIDE-OUT out interface inside

 

Welches Statement soll die PIX dann Deiner Meinung nach nehmen?

 

Gruss

Markus

[onedread 10]

hi

 

naja so is das halt mit der access-liste das sie von oben nach unten abgearbeitet wird.

[hegl 10]

Na ja, bis jetzt habe ich es immer noch nicht verstanden!

Mal zur Sachlage: wir wurden von einer Domain mit Emails bombadiert und unser Mailgate war schön beschäftigt. Also habe ich deny auf die besagte IP konfiguriert, aber es änderte sich nichts. Dann habe ich erst einmal das permit auf Port 25 für dieses Mailgate gelöscht, danach zuerst den deny auf die besagte IP und anschließend wieder permit auf den Rest und schon wurde es geblockt. Das sagt mir also: steht das deny hinter dem permit ist es nicht von Bedeutung, da bei dem ersten zutreffenden Ereignis (also permit) die PIX aussteigt. Steht aber das deny an erster Stelle wird es auch angezogen und kein Mail von dieser IP gelangt mehr zum Mailgate!

Aber wie gesagt: ich meine mich zu erinnern mal gelernt zu haben, dass die PIX die access-lists durcharbeitet und nicht beim first match aussteigt.

 

Was ist denn nun richtig?

[fu123 10]

Hi,

 

was bringt es denn die Liste durchzuarbeiten, wenn ein Match da ist und diese verlassen werden kann?

 

Dann hast du verschiedene Möglichkeiten. Einmal das Packet durchlassen und bei der zweiten meinetwegen auch und erst bei der dritten wegwerfen.

 

:)

 

Ich schreib es jetzt mal etwas überspitzt, aber das wäre ja dann so ungefähr, komme ich heute nicht, komme ich morgen. Ja was hätten sie denn gern. Och ja, heute nehm ich mal die dritte Regel. Ach, oder doch vielleicht die Zweite? Ach, ich weiß nicht. Oder vielleicht doch die Eins?

 

Darum steht am Ende immer das deny. Ist ja auch implizit und man braucht es nicht zu schreiben. Damit wird dann alles aufgefangen was vorher nicht matched.

 

 

Fu

[Blacky_24 10]

Üblicherweise hast Du eine ACL die SMTP inbound erlaubt - für alle externen IP-Adressen.

 

Wenn Du dann hingehst und in die ACL ein weiteres Statement schreibst welches SMTP für eine spezifische externe Adresse verbietet steht dieses üblicherweise HINTER der Regel die SMTP von extern für alle erlaubt. Somit greift immer die Generalregel (first match), die PIX kommt garnicht zur Spezialregel.

 

Spezialregeln sollten immer vor den Generalregeln stehen, sonst passieren solche Pannen.

 

Deine Vermutung dass ein deny hinter einem permit immer wirkungslos ist würde ich nicht so generalisieren, es liegt aber in der Natur des "first match" dass man etwas was man oben erlaubt unten nicht mehr sinnvoll verbieten kann - oder andersrum: was man oben verbietet ist verboten, eine spätere Erlaubnis ist wirkungslos weil die PIX genau an der Stelle aus der Verarbeitung der ACL aussteigt wo sie eine passende Regel gefunden hat.

 

Man muss halt wissen was man will, die PIX ist einigermassen dumm und berechenbar und tut genau das was man ihr sagt.

 

Gruss

Markus

[hegl 10]

THX !

Jetzt habe selbst ich es verstanden :D :D :D