CISCO PIX 515 ACL

[Patrik Johansson]

Har en del problem, eller snarare så förstår jag inte rikgtigt....

 

När jag skall konfa min pix en 515e, när jag startar pdm och tittar på access-listorna så ser jag att jag har 2st implicit outbound rule för Inside o Dmz. Om jag ex lägger till en regel som tillåter dmz att pinga insidan så kan jag detta men då försvinner kan jag inte ex längre surfa. Lägger jag då till en regel som tilåter surfning så kan jag surfa på internet men också på sidor som vi har på insidan. Skall det vara på detta viset. Verkar ha kört fast.

 

Som alltid tacksam för hjälp av folk som kan detta!

 

Mvh Patrik Johansson

[r3m3dy]

Hmm verkar som du låser dej prova att använda permit any any

och sen skapa en accesgroup och använda den till Inbound och sen en samma fast då ut mot nätet..

 

hoppas jag inte förklarar dumt.. bästa vore att man kunde kolla på configen

 

 

[Patrik Johansson]

Skickar acl listan som den ser ut nu, dvs standard + en del annat som kanske behövs

 

name 192.168.2.21 TellusDMZ

name 212.3.XX.XXX TellusOUT

name 192.168.2.250 Projekt

name 192.168.1.131 Patrik

name 192.168.1.1 FS1

name 192.168.2.2 gripnetdmz

name 192.168.2.1 lackolledmz

name 192.168.1.3 nt320

object-group network Tellus

network-object TellusDMZ 255.255.255.255

object-group service WEB tcp

port-object eq ftp

port-object eq ftp-data

port-object eq www

port-object eq https

object-group service TellusGroup tcp

port-object eq ftp

port-object eq pop3

port-object eq ftp-data

port-object eq https

port-object eq www

port-object eq 5900

port-object eq smtp

object-group network Tellus_ref

network-object TellusOUT 255.255.255.255

object-group network ANY

network-object 212.3.XX.XXX 255.255.255.255

access-list outside_access_in permit tcp any object-group Tellus_ref object-group TellusGroup

 

global (outside) 1 interface

nat (inside) 1 192.168.1.0 255.255.255.0 0 0

nat (DMZ) 1 192.168.2.0 255.255.255.0 0 0

static (DMZ,outside) TellusOUT TellusDMZ netmask 255.255.255.255 0 0

static (inside,DMZ) 192.168.1.0 192.168.1.0 netmask 255.255.255.0 0 0

access-group outside_access_in in interface outside

 

 

 

[r3m3dy]

 

Ja tyvärr kan jag inte hjälpa dej håller just på att lära mig accesslistor det enda jag kan råda dej är att skriva ner på papper precis vad du vill att den skall göra och utifrån det sen börja med tex permit tcp port 80

 

hoppas det löser sig

 

[Anp]

hm.. Vad är det du vill uppnå?

Hur vill du att helheten skall se ut?

 

\\Anp

 

 

[Patrik Johansson]

Tanken är att jag på DMZ skall sätta en mailserver som (exchange) klienterna på insidan jobbar mot. Mailservern måste även komma åt insidan då domäncontrollern finns där.

Jag har testat lite och labbat men får ingen ordning på det. Börjar jag sätta upp access-listor i PDM så först försvinner implicit outbound rule för inside and dmz och efter dessa är borta så fungerar inget, och börjar jag sen ex sätta upp regler som till exempel tillåter insidan att kommunicera IP var som helst så funkar det, men när jag ex väljer att DMZ skall kunna kommunicera IP mot utsidan så kan den även kommunicera IP mot insidan och det vill jag inte. Det verkar som vilka regler som jag sätter upp mellan DMZ-outside gäller även mellan DMZ-inside.

 

[Anp]

Inte helt olikt mina egna önskemål.

(Nu är min PIX inte den hetaste på marknaden direkt, access-listor och sånt är okänd mark för min del.

På min heter det conduit.)

 

Jag har en DMZ med lite servrar som gärna vill kunna kontakta en WINS-server (10.1.1.10) på Inside.

 

Inside -> DMZ är inga problem, NAT fixar kakan (såtillvida att du har satt en lägre Security Level på DMZ än du har på Inside).

 

För att från DMZ kunna nå en IP på Inside slänger du bara upp en static, typ:

static (inside,DMZ) 10.1.1.10 10.1.1.10 netmask 255.255.255.255 0 0

 

Att du inte har ett 10.1.1.0-nät på DMZ-benet spelar ingen roll, bara trafiken når PIX:en så tar den hand om det och pumpar in till Inside..

 

..men inte om du inte har en conduit (accesslista) med i bilden, som talar om vem som får prata vad på den här adressen.

 

conduit permit tcp host 10.1.1.10 gt 0 host 125.125.125.125

om nu servern på DMZ har 125-adressen som exempel.

I det här fallet är alla portar över TCP 0 tillåtet (allt alltså).

En conduit för UDP kanske också kan vara nödvändigt att ha med för att vissa MS-grejer skall fungera.

 

Naturligtvis är det en bra idé att snörpa åt så att man bara kan prata på de portar som är nödvändiga, men när man testar kan det vara bra att öppna upp lite extra i början.

 

Så här har jag löst det och det fungerar utmärkt.

Tyvärr är jag som sagt väldigt osäker på access-list-funktionen i nyare PIX:ar.

 

\\Anp

 

 

[inlägget ändrat 2002-08-27 19:03:11 av Anp]

[joe]

 

Bra svar av Anp - några tillägg bara:

 

* Är man ny på PIXen är det lika bra att lära sig ACLer direkt o inte ge sig in i conduiterna - då det inte kommer att finnas stöd för dessa i framtida versioner.

 

* Ursprungliga inlägget undrade varför det inte fungerade när man skapade ACL'en. Det är precis så PIXen skall fungera ;-)

Finns det ingen ACL på insidan är allting implicit tillåtet -MEN skapar man en ACL på insidan är BARA det man explicit sätter permit på tillåtet. I Cisco finns alltid en implicit "deny any any" i slutet av varje ACL - dvs deny allt som inte är specat ovanför...