Just nu i M3-nätverket
Gå till innehåll

Programmering av en PIX VPN router


piratman1

Rekommendera Poster

Hur gör man för att omvandla en inkommande http (port 80) till port 13000 på en PIX501, för ett specifikt inkommande ip-nummer?

Servern ska lyssna på port 13000 från en specifik avsändare, men avsändaren kan bara skicka via port 80.

Länk till kommentar
Dela på andra webbplatser

MatteusDeGothia

Hejsan!

 

Här är ett exempel på static NAT som sköter själva port forwardingen! Du behöver även lägga till en access regel för att släppa in trafiken.

 

static (inside,outside) tcp 62.63.64.65 http 192.168.1.1 13000 netmask 255.255.255.255 0 0

 

Vad har du för version av mjukvara i PIX´en??

 

// Martin

Länk till kommentar
Dela på andra webbplatser

Tack för ditt svar, tyvärr får jag det ändå inte att fungera.

Pixen har version 6.3(5), tyvärr så gammal att jag måste ha en gammal dator med gammal JAVA, för att kunna använda Cisco PIX Device Manager 3.0. :-)

 

När jag försöker sätta upp "Access Rules" så blir resultatet "Null rule"

 

Länk till kommentar
Dela på andra webbplatser

Inte lätt att komma vidare,

eftersom jag redan har en regel för att all trafik till port 80 ska komma in, så verkar den krocka med den nya där jag vill att ett speciellt ip-nummer ska skickas till annan på i servern.

Länk till kommentar
Dela på andra webbplatser

MatteusDeGothia

Du har inte lust att lägga upp din konf så man kan se helheten?? Sudda bara ut dina Publika IP adresser och lösenord!

 

Jag har slutat att använda PDM för den är så j-vla kass. Kör bara CLI läge mot PIX.

 

// M

Länk till kommentar
Dela på andra webbplatser

Du har inte lust att lägga upp din konf så man kan se helheten?? Sudda bara ut dina Publika IP adresser och lösenord!

 

Jag har slutat att använda PDM för den är så j-vla kass. Kör bara CLI läge mot PIX.

 

// M

 

PDM var bara skräp. ADSM är däremot helt OK.

Länk till kommentar
Dela på andra webbplatser

Kommer här,

Jag är tacksam att någon vill hjälpa mig med detta eftersom det är lite kris att få till det....

 

Building configuration...

: Saved

:

PIX Version 6.3(5)

interface ethernet0 auto

interface ethernet1 100full

nameif ethernet0 outside security0

nameif ethernet1 inside security100

enable password xxxxxxxxx encrypted

passwd xxxxxxxxx encrypted

hostname pixfirewall

domain-name ciscopix.com

fixup protocol dns maximum-length 512

fixup protocol ftp 21

fixup protocol h323 h225 1720

fixup protocol h323 ras 1718-1719

fixup protocol http 80

fixup protocol icmp error

fixup protocol rsh 514

fixup protocol rtsp 554

fixup protocol sip 5060

fixup protocol sip udp 5060

fixup protocol skinny 22

fixup protocol smtp 25

fixup protocol sqlnet 1521

fixup protocol tftp 69

names

name 195.xxx.xxx.142 abcd.se

name 10.1.32.0 VPN_grupp2

name 10.1.4.0 VPN_grupp1

name 87.xxx.xxx.xxx MainVPN

name 192.168.19.17 In_SDS

name 192.168.19.20 Winserver

name 192.168.19.25 DHCP-tilldelad

object-group network VPN-gruppen

network-object 192.168.19.64 255.255.255.240

access-list inside_outbound_nat0_acl permit ip 192.168.19.16 255.255.255.240 VPN_grupp1 255.255.255.0

access-list inside_outbound_nat0_acl permit ip 192.168.19.16 255.255.255.240 VPN_grupp2 255.255.240.0

access-list out2in permit tcp any interface outside eq 2000

access-list out2in permit tcp any interface outside eq ssh

access-list out2in permit tcp any host 79.xxx.xxx.xxx eq 3306

access-list out2in permit tcp any host 79.xxx.xxx.xxx eq 2525

access-list out2in permit tcp any host 79.xxx.xxx.xxx eq www

access-list out2in permit tcp any host 79.xxx.xxx.xxx eq 5900

access-list out2in permit tcp any host 79.xxx.xxx.xxx eq 3389

access-list out2in permit tcp any host 79.xxx.xxx.xxx eq pptp

access-list out2in permit tcp any host 79.xxx.xxx.xxx eq 2346

access-list outside_cryptomap_30 permit ip 192.168.19.16 255.255.255.240 VPN_grupp1 255.255.255.0

access-list outside_cryptomap_30 permit ip 192.168.19.16 255.255.255.240 VPN_grupp2 255.255.240.0

pager lines 24

logging on

logging timestamp

logging standby

logging trap debugging

mtu outside 1500

mtu inside 1500

ip address outside dhcp setroute

ip address inside 192.168.19.1 255.255.255.0

ip audit info action alarm

ip audit attack action alarm

pdm location VPN_grupp1 255.255.255.0 outside

pdm location VPN_grupp2 255.255.240.0 outside

pdm location 192.168.19.16 255.255.255.240 inside

pdm location In_SDS 255.255.255.255 inside

pdm location Winserver 255.255.255.255 inside

pdm location DHCP-tilldelad 255.255.255.255 inside

pdm location 79.xxx.xxx.xxx 255.255.255.255 outside

pdm location 79.136.xxx.xxx 255.255.255.255 outside

pdm location 85.xxx.xxx.xxx 255.255.255.255 outside

pdm logging debugging 100

pdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 0 access-list inside_outbound_nat0_acl

nat (inside) 1 0.0.0.0 0.0.0.0 0 0

static (inside,outside) tcp 79.xxx.xxx.xxx 2000 In_SDS 2000 netmask 255.255.255.255 0 0

static (inside,outside) tcp 79.xxx.xxx.xxx ssh In_SDS ssh netmask 255.255.255.255 0 0

static (inside,outside) tcp 79.xxx.xxx.xxx 3306 Winserver 3306 netmask 255.255.255.255 0 0

static (inside,outside) tcp 79.xxx.xxx.xxx www Winserver www netmask 255.255.255.255 0 0

static (inside,outside) tcp 79.xxx.xxx.xxx 2525 Winserver 2525 netmask 255.255.255.255 0 0

static (inside,outside) tcp 79.xxx.xxx.xxx 5900 Winserver 5900 netmask 255.255.255.255 0 0

static (inside,outside) tcp 79.xxx.xxx.xxx 3389 Winserver 3389 netmask 255.255.255.255 0 0

static (inside,outside) tcp 79.xxx.xxx.xxx pptp Winserver pptp netmask 255.255.255.255 0 0

static (inside,outside) tcp 79.xxx.xxx.xxx 2346 Winserver 2346 netmask 255.255.255.255 0 0

access-group out2in in interface outside

timeout xlate 0:05:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout sip-disconnect 0:02:00 sip-invite 0:03:00

timeout uauth 0:05:00 absolute

aaa-server TACACS+ protocol tacacs+

aaa-server TACACS+ max-failed-attempts 3

aaa-server TACACS+ deadtime 10

aaa-server RADIUS protocol radius

aaa-server RADIUS max-failed-attempts 3

aaa-server RADIUS deadtime 10

aaa-server LOCAL protocol local

http server enable

http 192.168.19.0 255.255.255.0 inside

no snmp-server location

no snmp-server contact

snmp-server community public

no snmp-server enable traps

floodguard enable

sysopt connection permit-ipsec

crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac

crypto map outside_map 30 ipsec-isakmp

crypto map outside_map 30 match address outside_cryptomap_30

crypto map outside_map 30 set peer MainVPN

crypto map outside_map 30 set transform-set ESP-3DES-MD5

crypto map outside_map interface outside

isakmp enable outside

isakmp key xxxxxx address MainVPN netmask 255.255.255.255 no-xauth

isakmp policy 20 authentication pre-share

isakmp policy 20 encryption 3des

isakmp policy 20 hash md5

isakmp policy 20 group 2

isakmp policy 20 lifetime 86400

telnet timeout 5

ssh timeout 5

console timeout 0

dhcpd address 192.168.19.24-192.168.19.32 inside

dhcpd lease 3600

dhcpd ping_timeout 750

dhcpd auto_config outside

dhcpd enable inside

terminal width 80

Cryptochecksum:xxxxxxxxxxxx

: end

[OK]

Länk till kommentar
Dela på andra webbplatser

Vad vill du eg göra? Du har ju redan en static som kör tcp 80->80. Eftersom du kör DHCP antar jag att du bara har en publik address? Isf kan du inte skapa en ny regel som kör tcp 80->13000 till en annan server. Hur skall brandväggen kunna skilja på vad som är vad?

Länk till kommentar
Dela på andra webbplatser

Jag ska försöka förklara mina tankar :-)

Jag har en fungerade web-konf precis som du konstaterade port 80 ->80, där finns inget problem.

Jag skulle nu ansluta en extern tjänst som gör ett anrop på port 80 med GET-variabler.

Men eftersom jag kan NOLL om webprogrammering så skrev jag ihop ett program i VB som ligger och lyssnar på port 13000 och utför resterade jobb som ska göras.

Därför vill jag att anropen från just detta IP-nummer som denna externa tjänst har, dirigeras om till port 13000.

Mitt VB-program ligger alltså och kör på webbservern, och utnyttjar funktioner i andra program på servern.

Länk till kommentar
Dela på andra webbplatser

MatteusDeGothia

PDM var bara skräp. ADSM är däremot helt OK.

 

Tjena Joe!

 

Du har inte funnit ut ett sätt att köra ASDM mot en pix eller! Skulle vara guld i såfall!

 

// Martin

Länk till kommentar
Dela på andra webbplatser

MatteusDeGothia

Tjena!

 

Du måste ha en access-lista som tillåter trafiken:

access-list out2in permit tcp any host 79.xxx.xxx.xxx eq www (Finns redan)

 

Du måste sedan också ha en NAT statement som översätter trafiken:

static (inside,outside) tcp <publik ip> http <intern ip> 13000 netmask 255.255.255.255 0 0

 

Är det Http som trafik som ska gå igenom så finns det en liten risk du måste köra även detta:

fixup protocol http 13000 (att man kör http över en icke standard port).

 

Står servern i ett DMZ??

 

// M

Länk till kommentar
Dela på andra webbplatser

 

Du måste sedan också ha en NAT statement som översätter trafiken:

static (inside,outside) tcp <publik ip> http <intern ip> 13000 netmask 255.255.255.255 0 0

 

 

Problemet är att det redan en port 80-translation:

static (inside,outside) tcp 79.xxx.xxx.xxx www Winserver www netmask 255.255.255.255 0 0

Dvs för IP X port 80 översätts till IP Y port 80. Det går inte att lägga en ny translation på IP X port 80. Finns det flera publika address att tillgå går det ju att lägga upp IP Z port 80 översätts till IP Y port 13000.

 

 

Tjena Joe!

 

Du har inte funnit ut ett sätt att köra ASDM mot en pix eller! Skulle vara guld i såfall!

 

// Martin

 

Tjena! ASDM kräver firmware 7.x eller 8.x. Funkar fint på 500-serien PIXar - utom 501 o 506 som har för litet minne...

Länk till kommentar
Dela på andra webbplatser

MatteusDeGothia

Problemet är att det redan en port 80-translation:

static (inside,outside) tcp 79.xxx.xxx.xxx www Winserver www netmask 255.255.255.255 0 0

Dvs för IP X port 80 översätts till IP Y port 80. Det går inte att lägga en ny translation på IP X port 80. Finns det flera publika address att tillgå går det ju att lägga upp IP Z port 80 översätts till IP Y port 13000.

 

Sorry missa den i konfen!:unsure:

 

 

 

Tjena! ASDM kräver firmware 7.x eller 8.x. Funkar fint på 500-serien PIXar - utom 501 o 506 som har för litet minne...

 

Ja så var det! Vi kör så gamla versioner så de inte stödjer ASDM! :thumbsdown: Vi har även vissa lösningar med en VPN pix och en NAT pix eftersom de inte kunde göra båda sakerna i början!

/ M

Länk till kommentar
Dela på andra webbplatser

Ja så var det! Vi kör så gamla versioner så de inte stödjer ASDM! :thumbsdown: Vi har även vissa lösningar med en VPN pix och en NAT pix eftersom de inte kunde göra båda sakerna i början!

/ M

 

Har man 515s eller bättre i produktion hade jag absolut sett till att ha ett servicekontrakt på dem (enklaste varianten kostar inte spec mycket per år). Då är det bara att lägga på senaste vers inkl ASDM.. :P

Länk till kommentar
Dela på andra webbplatser

Ok, om jag tolkar er rätt så går det inte göra som jag tänkt då? .

 

-"Finns det flera publika address att tillgå går det ju att lägga upp IP Z port 80 översätts till IP Y port 13000."

Jo ,jag har en publik IP till men hur ska jag få in den?

Att sätta in ett nätverkskort till i datorn kan lösa problemet för då går jag förbi pixeln, frågan är då hur jag knyter mitt lilla prog till bara till det kortet.

 

Ett annan alternativ är att jag försöker skriva mitt VB-prog i ASP stoppar en det i Webbserven......

Ett lämpligt nattprojekt att försöka lära sig något nytt.

Länk till kommentar
Dela på andra webbplatser

Ok, om jag tolkar er rätt så går det inte göra som jag tänkt då? .

 

-"Finns det flera publika address att tillgå går det ju att lägga upp IP Z port 80 översätts till IP Y port 13000."

Jo ,jag har en publik IP till men hur ska jag få in den?

Att sätta in ett nätverkskort till i datorn kan lösa problemet för då går jag förbi pixeln, frågan är då hur jag knyter mitt lilla prog till bara till det kortet.

 

Ett annan alternativ är att jag försöker skriva mitt VB-prog i ASP stoppar en det i Webbserven......

Ett lämpligt nattprojekt att försöka lära sig något nytt.

 

Korrekt. Du kan inte lägga upp en ny port-translation på port 80 eftersom du redan har en på den publika IP-addressen. Har du fler publika IP (från samma operatör i samma subnät) kan du som sagt skapa den translation du vill på en avvikande "outside"-address.

Länk till kommentar
Dela på andra webbplatser

MatteusDeGothia

Har man 515s eller bättre i produktion hade jag absolut sett till att ha ett servicekontrakt på dem (enklaste varianten kostar inte spec mycket per år). Då är det bara att lägga på senaste vers inkl ASDM.. :P

 

Vi håller på att byta ut dem mot 5505 i stället! Mycket liten men kompetent burk :D .

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...