[piratman1]

Hur gör man för att omvandla en inkommande http (port 80) till port 13000 på en PIX501, för ett specifikt inkommande ip-nummer?
Servern ska lyssna på port 13000 från en specifik avsändare, men avsändaren kan bara skicka via port 80.

[MatteusDeGothia]

Hejsan!

Här är ett exempel på static NAT som sköter själva port forwardingen! Du behöver även lägga till en access regel för att släppa in trafiken.

static (inside,outside) tcp 62.63.64.65 http 192.168.1.1 13000 netmask 255.255.255.255 0 0

Vad har du för version av mjukvara i PIX´en??

// Martin

[piratman1]

Tack för ditt svar, tyvärr får jag det ändå inte att fungera.
Pixen har version 6.3(5), tyvärr så gammal att jag måste ha en gammal dator med gammal JAVA, för att kunna använda Cisco PIX Device Manager 3.0. :-)

När jag försöker sätta upp "Access Rules" så blir resultatet "Null rule"

Inlägget är redigerat av piratman1: 10 feb 2012, 15:54.

[piratman1]

Inte lätt att komma vidare,
eftersom jag redan har en regel för att all trafik till port 80 ska komma in, så verkar den krocka med den nya där jag vill att ett speciellt ip-nummer ska skickas till annan på i servern.

[MatteusDeGothia]

Du har inte lust att lägga upp din konf så man kan se helheten?? Sudda bara ut dina Publika IP adresser och lösenord!

Jag har slutat att använda PDM för den är så j-vla kass. Kör bara CLI läge mot PIX.

// M

[joe]

MatteusDeGothia, den 12 feb 2012, 19:18, sa:

Du har inte lust att lägga upp din konf så man kan se helheten?? Sudda bara ut dina Publika IP adresser och lösenord!

Jag har slutat att använda PDM för den är så j-vla kass. Kör bara CLI läge mot PIX.

// M

PDM var bara skräp. ADSM är däremot helt OK.

[piratman1]

Kommer här,
Jag är tacksam att någon vill hjälpa mig med detta eftersom det är lite kris att få till det....

Building configuration...
: Saved
:
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password xxxxxxxxx encrypted
passwd xxxxxxxxx encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol icmp error
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 22
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 195.xxx.xxx.142 abcd.se
name 10.1.32.0 VPN_grupp2
name 10.1.4.0 VPN_grupp1
name 87.xxx.xxx.xxx MainVPN
name 192.168.19.17 In_SDS
name 192.168.19.20 Winserver
name 192.168.19.25 DHCP-tilldelad
object-group network VPN-gruppen
network-object 192.168.19.64 255.255.255.240
access-list inside_outbound_nat0_acl permit ip 192.168.19.16 255.255.255.240 VPN_grupp1 255.255.255.0
access-list inside_outbound_nat0_acl permit ip 192.168.19.16 255.255.255.240 VPN_grupp2 255.255.240.0
access-list out2in permit tcp any interface outside eq 2000
access-list out2in permit tcp any interface outside eq ssh
access-list out2in permit tcp any host 79.xxx.xxx.xxx eq 3306
access-list out2in permit tcp any host 79.xxx.xxx.xxx eq 2525
access-list out2in permit tcp any host 79.xxx.xxx.xxx eq www
access-list out2in permit tcp any host 79.xxx.xxx.xxx eq 5900
access-list out2in permit tcp any host 79.xxx.xxx.xxx eq 3389
access-list out2in permit tcp any host 79.xxx.xxx.xxx eq pptp
access-list out2in permit tcp any host 79.xxx.xxx.xxx eq 2346
access-list outside_cryptomap_30 permit ip 192.168.19.16 255.255.255.240 VPN_grupp1 255.255.255.0
access-list outside_cryptomap_30 permit ip 192.168.19.16 255.255.255.240 VPN_grupp2 255.255.240.0
pager lines 24
logging on
logging timestamp
logging standby
logging trap debugging
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside 192.168.19.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location VPN_grupp1 255.255.255.0 outside
pdm location VPN_grupp2 255.255.240.0 outside
pdm location 192.168.19.16 255.255.255.240 inside
pdm location In_SDS 255.255.255.255 inside
pdm location Winserver 255.255.255.255 inside
pdm location DHCP-tilldelad 255.255.255.255 inside
pdm location 79.xxx.xxx.xxx 255.255.255.255 outside
pdm location 79.136.xxx.xxx 255.255.255.255 outside
pdm location 85.xxx.xxx.xxx 255.255.255.255 outside
pdm logging debugging 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp 79.xxx.xxx.xxx 2000 In_SDS 2000 netmask 255.255.255.255 0 0
static (inside,outside) tcp 79.xxx.xxx.xxx ssh In_SDS ssh netmask 255.255.255.255 0 0
static (inside,outside) tcp 79.xxx.xxx.xxx 3306 Winserver 3306 netmask 255.255.255.255 0 0
static (inside,outside) tcp 79.xxx.xxx.xxx www Winserver www netmask 255.255.255.255 0 0
static (inside,outside) tcp 79.xxx.xxx.xxx 2525 Winserver 2525 netmask 255.255.255.255 0 0
static (inside,outside) tcp 79.xxx.xxx.xxx 5900 Winserver 5900 netmask 255.255.255.255 0 0
static (inside,outside) tcp 79.xxx.xxx.xxx 3389 Winserver 3389 netmask 255.255.255.255 0 0
static (inside,outside) tcp 79.xxx.xxx.xxx pptp Winserver pptp netmask 255.255.255.255 0 0
static (inside,outside) tcp 79.xxx.xxx.xxx 2346 Winserver 2346 netmask 255.255.255.255 0 0
access-group out2in in interface outside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.19.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto map outside_map 30 ipsec-isakmp
crypto map outside_map 30 match address outside_cryptomap_30
crypto map outside_map 30 set peer MainVPN
crypto map outside_map 30 set transform-set ESP-3DES-MD5
crypto map outside_map interface outside
isakmp enable outside
isakmp key xxxxxx address MainVPN netmask 255.255.255.255 no-xauth
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.19.24-192.168.19.32 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
terminal width 80
Cryptochecksum:xxxxxxxxxxxx
: end
[OK]

[joe]

Vad vill du eg göra? Du har ju redan en static som kör tcp 80->80. Eftersom du kör DHCP antar jag att du bara har en publik address? Isf kan du inte skapa en ny regel som kör tcp 80->13000 till en annan server. Hur skall brandväggen kunna skilja på vad som är vad?

[piratman1]

Jag ska försöka förklara mina tankar :-) Jag har en fungerade web-konf precis som du konstaterade port 80 ->80, där finns inget problem.Jag skulle nu ansluta en extern tjänst som gör ett anrop på port 80 med GET-variabler.
Men eftersom jag kan NOLL om webprogrammering så skrev jag ihop ett program i VB som ligger och lyssnar på port 13000 och utför resterade jobb som ska göras.
Därför vill jag att anropen från just detta IP-nummer som denna externa tjänst har, dirigeras om till port 13000.
Mitt VB-program ligger alltså och kör på webbservern, och utnyttjar funktioner i andra program på servern.

[MatteusDeGothia]

joe, den 12 feb 2012, 21:35, sa:

PDM var bara skräp. ADSM är däremot helt OK.

Tjena Joe!

Du har inte funnit ut ett sätt att köra ASDM mot en pix eller! Skulle vara guld i såfall!

// Martin

[MatteusDeGothia]

Tjena!

Du måste ha en access-lista som tillåter trafiken:
access-list out2in permit tcp any host 79.xxx.xxx.xxx eq www (Finns redan)

Du måste sedan också ha en NAT statement som översätter trafiken:
static (inside,outside) tcp <publik ip> http <intern ip> 13000 netmask 255.255.255.255 0 0

Är det Http som trafik som ska gå igenom så finns det en liten risk du måste köra även detta:
fixup protocol http 13000 (att man kör http över en icke standard port).

Står servern i ett DMZ??

// M

[joe]

MatteusDeGothia, den 13 feb 2012, 18:55, sa:

Du måste sedan också ha en NAT statement som översätter trafiken:
static (inside,outside) tcp <publik ip> http <intern ip> 13000 netmask 255.255.255.255 0 0

Problemet är att det redan en port 80-translation:
static (inside,outside) tcp 79.xxx.xxx.xxx www Winserver www netmask 255.255.255.255 0 0
Dvs för IP X port 80 översätts till IP Y port 80. Det går inte att lägga en ny translation på IP X port 80. Finns det flera publika address att tillgå går det ju att lägga upp IP Z port 80 översätts till IP Y port 13000.

Citat

Tjena Joe!

Du har inte funnit ut ett sätt att köra ASDM mot en pix eller! Skulle vara guld i såfall!

// Martin

Tjena! ASDM kräver firmware 7.x eller 8.x. Funkar fint på 500-serien PIXar - utom 501 o 506 som har för litet minne...

[MatteusDeGothia]

joe, den 13 feb 2012, 19:41, sa:

Problemet är att det redan en port 80-translation:
static (inside,outside) tcp 79.xxx.xxx.xxx www Winserver www netmask 255.255.255.255 0 0
Dvs för IP X port 80 översätts till IP Y port 80. Det går inte att lägga en ny translation på IP X port 80. Finns det flera publika address att tillgå går det ju att lägga upp IP Z port 80 översätts till IP Y port 13000.

Sorry missa den i konfen!



Tjena! ASDM kräver firmware 7.x eller 8.x. Funkar fint på 500-serien PIXar - utom 501 o 506 som har för litet minne...

Ja så var det! Vi kör så gamla versioner så de inte stödjer ASDM! Vi har även vissa lösningar med en VPN pix och en NAT pix eftersom de inte kunde göra båda sakerna i början!
/ M

[joe]

MatteusDeGothia, den 13 feb 2012, 20:00, sa:

Ja så var det! Vi kör så gamla versioner så de inte stödjer ASDM! Vi har även vissa lösningar med en VPN pix och en NAT pix eftersom de inte kunde göra båda sakerna i början!
/ M

Har man 515s eller bättre i produktion hade jag absolut sett till att ha ett servicekontrakt på dem (enklaste varianten kostar inte spec mycket per år). Då är det bara att lägga på senaste vers inkl ASDM..

[piratman1]

Ok, om jag tolkar er rätt så går det inte göra som jag tänkt då? .

-"Finns det flera publika address att tillgå går det ju att lägga upp IP Z port 80 översätts till IP Y port 13000."
Jo ,jag har en publik IP till men hur ska jag få in den?
Att sätta in ett nätverkskort till i datorn kan lösa problemet för då går jag förbi pixeln, frågan är då hur jag knyter mitt lilla prog till bara till det kortet.

Ett annan alternativ är att jag försöker skriva mitt VB-prog i ASP stoppar en det i Webbserven......
Ett lämpligt nattprojekt att försöka lära sig något nytt.

[joe]

piratman1, den 13 feb 2012, 21:22, sa:

Ok, om jag tolkar er rätt så går det inte göra som jag tänkt då? .

-"Finns det flera publika address att tillgå går det ju att lägga upp IP Z port 80 översätts till IP Y port 13000."
Jo ,jag har en publik IP till men hur ska jag få in den?
Att sätta in ett nätverkskort till i datorn kan lösa problemet för då går jag förbi pixeln, frågan är då hur jag knyter mitt lilla prog till bara till det kortet.

Ett annan alternativ är att jag försöker skriva mitt VB-prog i ASP stoppar en det i Webbserven......
Ett lämpligt nattprojekt att försöka lära sig något nytt.

Korrekt. Du kan inte lägga upp en ny port-translation på port 80 eftersom du redan har en på den publika IP-addressen. Har du fler publika IP (från samma operatör i samma subnät) kan du som sagt skapa den translation du vill på en avvikande "outside"-address.

[MatteusDeGothia]

joe, den 13 feb 2012, 21:17, sa:

Har man 515s eller bättre i produktion hade jag absolut sett till att ha ett servicekontrakt på dem (enklaste varianten kostar inte spec mycket per år). Då är det bara att lägga på senaste vers inkl ASDM..

Vi håller på att byta ut dem mot 5505 i stället! Mycket liten men kompetent burk .

[joe]

MatteusDeGothia, den 14 feb 2012, 10:10, sa:

Vi håller på att byta ut dem mot 5505 i stället! Mycket liten men kompetent burk .

Bra val. (skrivet bakom en sådan )