Port forwarding sur PIX501

msmadja -  
 pat185 -
Bonjour,

Comment faire du port forwarding sur PIX501 (Cisco)?
Merci
Configuration: Windows XP
Internet Explorer 6.0

34 réponses

  • 1
  • 2
  1. ianvs Messages postés 539 Date d'inscription   Statut Membre Dernière intervention   209
     
    Bonjour,

    Peux-tu expliquer un peu plus ce que tu cherches à faire et préciser le niveau de version de ton PIX ?
    0
  2. msmadja
     
    Bonjour,

    Mon PIX est en version 6.35. Ma config est la config d'usine (aucune commande supplementaire). Je dispose d'une IP externe fixe (chez Free)
    Je souhaiterais
    - avoir un PC qui me serve de serveur FTP (le serveur FTP est GuildFTP installé sur Win98, fonctionne bien en interne)
    - savoir de maniere generale comment on ouvre tel ou tel port ou comment on forward tel port sur tel PC: par exeemple, j'utilise UltraVNC qui necessite une redirection du port 5900 sur l'IP du PC serveur ou bien certaines applications nécessitent que soit ouvert un port particulier
    - savoir enfin si il existe un doc résumant les grands principes de programmation du PIX sans avoir à se taper les 600 pages incomprehensibles et indigerables du doc de ref du PIX
    Merci pour ton aide,
    Marc
    0
  3. ianvs Messages postés 539 Date d'inscription   Statut Membre Dernière intervention   209
     
    Bonjour,

    Il n'y a pas de doc mais des exemples tout prets (pas faciles à trouver en plus).

    Je n'ai jamais pris le temps de documenter non plus d'ailleurs (mes client s'en sont tous passés en plus).

    Si tu es en 6.3(5) alors voici comment ajouter une translation statique (pour permettre l'accès à un serveur depuis l'extérieur) :
    translation pour le FTP (il faut préciser les ports car tu n'as qu'une IP publique)
    static (inside,outside) tcp ADRESSE_PUBLIQUE ftp ADRESSE_REELLE ftp [netmask 255.255.255.255] [dns]
    - l'adresse publique est l'adresse que tu donnes à la machine à l'extérieur (probablement celle du PIX) ou une du réseau entre le modem et le PIX
    - l'adresse réelle est l'adresse IP de la machine sur le réseau interne
    - la première option (netmask ...) est innutile car le PIX la mettra tout seul normalement
    - la seconde option (dns) permet au PIX de corriger les réponses DNS (inutile dans ton cas)
    Tu peux reprendre le principe de cette commande pour tout autre protocole (si le nom du protocole n'est pas connu - comme pour VNC - tu peux mettre le numéro du port)

    Ensuite il faudra ouvrir une access-list pour permettre la communication :
    access-list NOMACL permit tcp any host ADRESSE_PUBLIQUE eq ftp
    - NOM est le nom de l'access-list , ce nom servira pour affecter l'access-list à une interface
    - any => on ne connait pas à priori l'adresse IP qui va se connecter
    - host ADRESSE_PUBLIQUE => l'adresse "publique" du serveur défini dans la translation, ou pourrait utiliser un autre format : ADRESSE_PUBLIQUE MASK, mais ce format est plus clair pour une IP seule
    - eq ftp = le port DESTINATION doit être égal à 21 (ftp) - il existe d'autres options comme gt (plus grand que)

    Enfin, il faut appliquer l'access-list à l'interface considérée :
    access-group NOM_ACL in interface outside

    PS : j'ai supposé que les nom des interfaces étaient inside et outside (le standard habituel) mais si ce n'est pas le cas il faut corriger les commandes en conséquence.

    Voilà ...
    0
  4. msmadja
     
    Bonjour,

    Merci tout d'abord pour toutes ces infos. J'avais trouvé à peu pres la meme chose sur le site Cisco, mais je n'arrive toujours pas a acceder au serveur ftp (en entrant ftp://ADRESSE_PUBLIQUE) alors qu'en interne j'y accede...
    Coment verifier ce qui bloque? (je n'ai pas essayé pour VNC, mais j'essaye qd mm)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ianvs Messages postés 539 Date d'inscription   Statut Membre Dernière intervention   209
     
    Pour savoir si le PIX bloque, tu peux entrer la commande "show log".
    As-tu aussi fait de la translation sur le modem ?

    Au pire, envoie moi un message privé et nous verrons ta config du PIX.
    0
  7. msmadja
     
    Translation sur le modem ???? sorry connais pas ! (c'est un modem Freebox normal, sans activation de la fonction routeur)

    Pour ma config.... ci-après...
    Merci encore !

    Building configuration...
    : Saved
    :
    PIX Version 6.3(5)
    interface ethernet0 auto
    interface ethernet1 100full
    nameif ethernet0 outside security0
    nameif ethernet1 inside security100
    enable password 8Ry2YjIyt7RRXU24 encrypted
    passwd 2KFQnbNIdI.2KYOU encrypted
    hostname pixfirewall
    domain-name ciscopix.com
    fixup protocol dns maximum-length 512
    fixup protocol ftp 21
    fixup protocol h323 h225 1720
    fixup protocol h323 ras 1718-1719
    fixup protocol http 80
    fixup protocol rsh 514
    fixup protocol rtsp 554
    fixup protocol sip 5060
    fixup protocol sip udp 5060
    fixup protocol skinny 2000
    fixup protocol smtp 25
    fixup protocol sqlnet 1521
    fixup protocol tftp 69
    names
    access-list ACLOUT permit tcp any host 88.166.222.78 eq ftp
    pager lines 24
    mtu outside 1500
    mtu inside 1500
    ip address outside dhcp setroute
    ip address inside 192.168.1.1 255.255.255.0
    ip audit info action alarm
    ip audit attack action alarm
    pdm location 192.168.1.9 255.255.255.255 inside
    pdm location 192.168.1.19 255.255.255.255 inside
    pdm logging informational 100
    pdm history enable
    arp timeout 14400
    global (outside) 1 interface
    nat (inside) 1 0.0.0.0 0.0.0.0 0 0
    static (inside,outside) tcp 88.166.222.78 ftp 192.168.1.19 ftp netmask 255.255.255.255 0 0
    access-group ACLOUT in interface outside
    timeout xlate 0:05:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
    timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
    timeout sip-disconnect 0:02:00 sip-invite 0:03:00
    timeout uauth 0:05:00 absolute
    aaa-server TACACS+ protocol tacacs+
    aaa-server TACACS+ max-failed-attempts 3
    aaa-server TACACS+ deadtime 10
    aaa-server RADIUS protocol radius
    aaa-server RADIUS max-failed-attempts 3
    aaa-server RADIUS deadtime 10
    aaa-server LOCAL protocol local
    http server enable
    http 192.168.1.0 255.255.255.0 inside
    no snmp-server location
    no snmp-server contact
    snmp-server community public
    no snmp-server enable traps
    floodguard enable
    telnet timeout 5
    ssh timeout 5
    console timeout 0
    dhcpd address 192.168.1.2-192.168.1.33 inside
    dhcpd lease 3600
    dhcpd ping_timeout 750
    dhcpd auto_config outside
    dhcpd enable inside
    terminal width 80
    Cryptochecksum:17ebe0bab980b4c633c90e238132bc49
    : end
    [OK]
    0
  8. ianvs Messages postés 539 Date d'inscription   Statut Membre Dernière intervention   209
     
    Si la BOX n'est pas en mode routeur alors ça roule.

    Par contre il y a une "incohérence" au niveau de la config.
    Si l'interface "outside" est en DHCP tu ne peux pas utiliser la même adresse pour la translation, mais tu dois "dire" au PIX d'utiliser sa propre adresse.

    Je te propose donc d'entrer les commandes suivantes dans ton PIX :
    clear xlate ! pour libérer les translations
    no static (inside,outside) tcp 88.166.222.78 ftp 192.168.1.19 ftp netmask 255.255.255.255 0 0 ! pour supprimer la translation existante
    static (inside,outside) tcp interface ftp 192.168.1.19 ftp ! pour créer la nouvelle translation
    0
  9. msmadja
     
    Bonjour,

    Sorry toujours pas .... je commence à déseperer...
    0
  10. ianvs Messages postés 539 Date d'inscription   Statut Membre Dernière intervention   209
     
    Peux-tu entrer les commandes suivante dans la config :
    logg buff 5
    logg histo 50

    Peux-tu ensuite me donner le résultat des commandes suivantes juste après avoir fait un test ?
    show static
    sh xlate
    sh arp
    sh log
    0
  11. msmadja
     
    Bonjour,

    logg histo 50 a revoyer une erreur de syntax
    show static donne:
    static (inside,outside) tcp interface ftp 192.168.1.19 ftp netmask 255.255.255.255 0 0

    sh xlate donne:
    23 in use, 250 most used
    PAT Global 88.166.222.78(1034) Local 192.168.1.11(1040)
    PAT Global 88.166.222.78(1055) Local 192.168.1.11(1110)
    PAT Global 88.166.222.78(11831) Local 192.168.1.11(1028)
    PAT Global 88.166.222.78(11829) Local 192.168.1.8(1026)
    PAT Global 88.166.222.78(1744) Local 192.168.1.11(1738)
    PAT Global 88.166.222.78(1756) Local 192.168.1.10(1048)
    PAT Global 88.166.222.78(547) Local 192.168.1.16(752)
    PAT Global 88.166.222.78(546) Local 192.168.1.16(753)
    PAT Global 88.166.222.78(545) Local 192.168.1.16(754)
    PAT Global 88.166.222.78(544) Local 192.168.1.16(755)
    PAT Global 88.166.222.78(551) Local 192.168.1.16(747)
    PAT Global 88.166.222.78(550) Local 192.168.1.16(748)
    PAT Global 88.166.222.78(549) Local 192.168.1.16(750)
    PAT Global 88.166.222.78(548) Local 192.168.1.16(751)
    PAT Global 88.166.222.78(10755) Local 192.168.1.3(5061)
    PAT Global 88.166.222.78(10754) Local 192.168.1.3(5060)
    PAT Global 88.166.222.78(10756) Local 192.168.1.4(5060)
    PAT Global 88.166.222.78(543) Local 192.168.1.16(756)
    PAT Global 88.166.222.78(542) Local 192.168.1.16(757)
    PAT Global 88.166.222.78(2851) Local 192.168.1.11(2038)
    PAT Global 88.166.222.78(2852) Local 192.168.1.9(1629)
    PAT Global 88.166.222.78(2816) Local 192.168.1.9(1591)
    PAT Global 88.166.222.78(2846) Local 192.168.1.11(2034)

    sh arp donne:
    outside 88.166.222.254 0007.cb48.ffdf
    inside 192.168.1.11 0019.d142.ac12
    inside 192.168.1.3 0018.f802.55fa
    inside 192.168.1.14 0050.ba05.d36c
    inside 192.168.1.8 000e.0ca1.fb07
    inside 192.168.1.9 0013.72ce.78db
    inside 192.168.1.16 0013.72ce.859a
    inside 192.168.1.18 0013.72ce.efd4
    inside 192.168.1.7 0014.222c.89e2
    inside 192.168.1.10 0019.2129.b26c
    inside 192.168.1.4 0001.e38f.5900
    inside 192.168.1.6 0080.778e.1cb1
    inside 192.168.1.5 0800.3732.bae5
    inside 192.168.1.19 0013.8f81.cd42
    inside 192.168.1.13 0040.f46c.f347

    sh log donne:
    Syslog logging: disabled
    Facility: 20
    Timestamp logging: disabled
    Standby logging: disabled
    Console logging: disabled
    Monitor logging: disabled
    Buffer logging: level notifications, 0 messages logged
    Trap logging: disabled
    History logging: disabled
    Device ID: disabled

    Merci !
    0
  12. msmadja
     
    Bonjour,

    Dans mon envoi précédent je n'avais pas essayé de me connecter au ftp...

    Result of firewall command: "sh xlate"

    98 in use, 271 most used
    PAT Global 88.166.222.78(13347) Local 192.168.1.9(3284)
    PAT Global 88.166.222.78(13346) Local 192.168.1.9(3283)
    PAT Global 88.166.222.78(13345) Local 192.168.1.9(3282)
    PAT Global 88.166.222.78(13344) Local 192.168.1.9(3281)
    PAT Global 88.166.222.78(13351) Local 192.168.1.9(3288)
    PAT Global 88.166.222.78(13350) Local 192.168.1.9(3287)
    PAT Global 88.166.222.78(13349) Local 192.168.1.9(3286)
    PAT Global 88.166.222.78(13348) Local 192.168.1.9(3285)
    PAT Global 88.166.222.78(13355) Local 192.168.1.9(3292)
    PAT Global 88.166.222.78(13354) Local 192.168.1.9(3291)
    PAT Global 88.166.222.78(13353) Local 192.168.1.9(3290)
    PAT Global 88.166.222.78(13352) Local 192.168.1.9(3289)
    PAT Global 88.166.222.78(13359) Local 192.168.1.9(3296)
    PAT Global 88.166.222.78(13358) Local 192.168.1.9(3295)
    PAT Global 88.166.222.78(13357) Local 192.168.1.9(3294)
    PAT Global 88.166.222.78(13356) Local 192.168.1.9(3293)
    PAT Global 88.166.222.78(13363) Local 192.168.1.9(3300)
    PAT Global 88.166.222.78(13362) Local 192.168.1.9(3299)
    PAT Global 88.166.222.78(13361) Local 192.168.1.9(3298)
    PAT Global 88.166.222.78(13360) Local 192.168.1.9(3297)
    PAT Global 88.166.222.78(13367) Local 192.168.1.9(3304)
    PAT Global 88.166.222.78(13366) Local 192.168.1.9(3303)
    PAT Global 88.166.222.78(13365) Local 192.168.1.9(3302)
    PAT Global 88.166.222.78(13364) Local 192.168.1.9(3301)
    PAT Global 88.166.222.78(13371) Local 192.168.1.9(3308)
    PAT Global 88.166.222.78(13370) Local 192.168.1.9(3307)
    PAT Global 88.166.222.78(13369) Local 192.168.1.9(3306)
    PAT Global 88.166.222.78(13368) Local 192.168.1.9(3305)
    PAT Global 88.166.222.78(13375) Local 192.168.1.9(3312)
    PAT Global 88.166.222.78(13374) Local 192.168.1.9(3311)
    PAT Global 88.166.222.78(13373) Local 192.168.1.9(3310)
    PAT Global 88.166.222.78(13372) Local 192.168.1.9(3309)
    PAT Global 88.166.222.78(1034) Local 192.168.1.11(1040)
    PAT Global 88.166.222.78(13343) Local 192.168.1.9(3280)
    PAT Global 88.166.222.78(13342) Local 192.168.1.9(3279)
    PAT Global 88.166.222.78(1055) Local 192.168.1.11(1110)
    PAT Global 88.166.222.78(13341) Local 192.168.1.9(3278)
    PAT Global 88.166.222.78(13411) Local 192.168.1.9(3348)
    PAT Global 88.166.222.78(13410) Local 192.168.1.9(3347)
    PAT Global 88.166.222.78(13409) Local 192.168.1.9(3346)
    PAT Global 88.166.222.78(13408) Local 192.168.1.9(3345)
    PAT Global 88.166.222.78(13413) Local 192.168.1.11(4320)
    PAT Global 88.166.222.78(13412) Local 192.168.1.11(4318)
    PAT Global 88.166.222.78(13379) Local 192.168.1.9(3316)
    PAT Global 88.166.222.78(13378) Local 192.168.1.9(3315)
    PAT Global 88.166.222.78(13377) Local 192.168.1.9(3314)
    PAT Global 88.166.222.78(13376) Local 192.168.1.9(3313)
    PAT Global 88.166.222.78(13383) Local 192.168.1.9(3320)
    PAT Global 88.166.222.78(13382) Local 192.168.1.9(3319)
    PAT Global 88.166.222.78(13381) Local 192.168.1.9(3318)
    PAT Global 88.166.222.78(13380) Local 192.168.1.9(3317)
    PAT Global 88.166.222.78(13387) Local 192.168.1.9(3324)
    PAT Global 88.166.222.78(13386) Local 192.168.1.9(3323)
    PAT Global 88.166.222.78(13385) Local 192.168.1.9(3322)
    PAT Global 88.166.222.78(13384) Local 192.168.1.9(3321)
    PAT Global 88.166.222.78(13391) Local 192.168.1.9(3328)
    PAT Global 88.166.222.78(13390) Local 192.168.1.9(3327)
    PAT Global 88.166.222.78(13389) Local 192.168.1.9(3326)
    PAT Global 88.166.222.78(13388) Local 192.168.1.9(3325)
    PAT Global 88.166.222.78(13395) Local 192.168.1.9(3332)
    PAT Global 88.166.222.78(13394) Local 192.168.1.9(3331)
    PAT Global 88.166.222.78(13393) Local 192.168.1.9(3330)
    PAT Global 88.166.222.78(13392) Local 192.168.1.9(3329)
    PAT Global 88.166.222.78(13399) Local 192.168.1.9(3336)
    PAT Global 88.166.222.78(13398) Local 192.168.1.9(3335)
    PAT Global 88.166.222.78(13397) Local 192.168.1.9(3334)
    PAT Global 88.166.222.78(13396) Local 192.168.1.9(3333)
    PAT Global 88.166.222.78(13403) Local 192.168.1.9(3340)
    PAT Global 88.166.222.78(13402) Local 192.168.1.9(3339)
    PAT Global 88.166.222.78(13401) Local 192.168.1.9(3338)
    PAT Global 88.166.222.78(13400) Local 192.168.1.9(3337)
    PAT Global 88.166.222.78(13407) Local 192.168.1.9(3344)
    PAT Global 88.166.222.78(13406) Local 192.168.1.9(3343)
    PAT Global 88.166.222.78(13405) Local 192.168.1.9(3342)
    PAT Global 88.166.222.78(13404) Local 192.168.1.9(3341)
    PAT Global 88.166.222.78(1756) Local 192.168.1.10(1048)
    PAT Global 88.166.222.78(12452) Local 192.168.1.9(1145)
    PAT Global 88.166.222.78(10755) Local 192.168.1.3(5061)
    PAT Global 88.166.222.78(10754) Local 192.168.1.3(5060)
    PAT Global 88.166.222.78(10756) Local 192.168.1.4(5060)
    PAT Global 88.166.222.78(13169) Local 192.168.1.9(3152)
    PAT Global 88.166.222.78(13239) Local 192.168.1.11(4296)
    PAT Global 88.166.222.78(13240) Local 192.168.1.11(4297)
    PAT Global 88.166.222.78(13247) Local 192.168.1.11(4304)
    PAT Global 88.166.222.78(13245) Local 192.168.1.11(4302)
    PAT Global 88.166.222.78(13244) Local 192.168.1.11(4301)
    PAT Global 88.166.222.78(13298) Local 192.168.1.9(3235)
    PAT Global 88.166.222.78(13301) Local 192.168.1.9(3238)
    PAT Global 88.166.222.78(13250) Local 192.168.1.11(4307)
    PAT Global 88.166.222.78(13249) Local 192.168.1.11(4306)
    PAT Global 88.166.222.78(13248) Local 192.168.1.11(4305)
    PAT Global 88.166.222.78(13255) Local 192.168.1.11(4312)
    PAT Global 88.166.222.78(13252) Local 192.168.1.11(4309)
    PAT Global 88.166.222.78(13258) Local 192.168.1.9(3199)
    PAT Global 88.166.222.78(13262) Local 192.168.1.9(3200)
    PAT Global 88.166.222.78(13260) Local 192.168.1.11(4316)
    PAT Global 88.166.222.78(13265) Local 192.168.1.9(3201)
    PAT Global 88.166.222.78(13274) Local 192.168.1.9(3211)

    Result of firewall command: "sh arp"

    outside 88.166.222.254 0007.cb48.ffdf
    inside 192.168.1.11 0019.d142.ac12
    inside 192.168.1.18 0013.72ce.efd4
    inside 192.168.1.10 0019.2129.b26c
    inside 192.168.1.8 000e.0ca1.fb07
    inside 192.168.1.3 0018.f802.55fa
    inside 192.168.1.15 0013.72ce.8363
    inside 192.168.1.13 0040.f46c.f347
    inside 192.168.1.14 0050.ba05.d36c
    inside 192.168.1.9 0013.72ce.78db
    inside 192.168.1.19 0013.8f81.cd42
    inside 192.168.1.7 0014.222c.89e2
    inside 192.168.1.6 0080.778e.1cb1
    inside 192.168.1.4 0001.e38f.5900
    inside 192.168.1.5 0800.3732.bae5

    Result of firewall command: "sh log"

    Syslog logging: disabled
    Facility: 20
    Timestamp logging: disabled
    Standby logging: disabled
    Console logging: disabled
    Monitor logging: disabled
    Buffer logging: level notifications, 0 messages logged
    Trap logging: disabled
    History logging: disabled
    Device ID: disabled
    0
  13. ianvs Messages postés 539 Date d'inscription   Statut Membre Dernière intervention   209
     
    Bonjour,

    Dans les translations on ne voit pas la translation "FTP", ce qui n'est pas normal.
    Peux-tu me préciser de où à où tu essaye la connexion FTP ?

    Pour le log, je n'ai plus la commande exacte en tête, mais en gros il faut activer l'historique de logs (en faisant logg <ENTER> le PIX te donnera la syntaxe.
    0
  14. msmadja
     
    Bonjour,

    En fait je tape ftp://88.166.222.78 sous Explorer depuis un autre poste du réseau. (si je tape ftp://192.168.1.19 j'accede au serveur ftp sans probleme). Désolé c'est peut-etre une erreur basique mais je ne m'y connais pas trop....
    0
  15. ianvs Messages postés 539 Date d'inscription   Statut Membre Dernière intervention   209
     
    Pour tester la translation, il faudrait tester depuis une machine "extérieur" à ton réseau.
    Par exemple depuis mon PC ...
    Quand je fais le test ça semble marcher (j'ai une demande de login).

    Si tu fais un sh xlate tu verras peut-être la translation pour le serveur.
    0
  16. msmadja
     
    OK merci ! je ne comprend pas trop pourquoi ça ne marche pas de l'interieur mais tant pis.
    en definitive que faut-il donc que j'ajoute pour ouvrir un port et le rediriger sur une machine interne (admettons port 5900 pour UltraVNC) ?
    0
  17. ianvs Messages postés 539 Date d'inscription   Statut Membre Dernière intervention   209
     
    Tu ne peux pas interroger une machine locale avec une adresse "NATée" à travers un PIX (c'est une anomalie pour lui).
    Pour tester complètement, je te propose de m'envoyer (en message privé) un compte que tu fermeras ensuite.

    Maintenant, si tu veux ouvrir d'autres ports, tu entres des commandes static avec les ports.
    Exemple pour ajouter un service Web ET un VNC sur le port TCP/5900 :
    static (inside,outside) tcp interface 80 192.168.1.19 80
    static (inside,outside) tcp interface 5900 192.168.1.19 5900

    Et ainsi de suite pour tout service complémentaire éventuel.
    0
  18. msmadja
     
    ok merci bcp
    pour le test tu peux te connecter en login paul (passwd idem)
    0
  19. ianvs Messages postés 539 Date d'inscription   Statut Membre Dernière intervention   209
     
    Ca fonctionne impec, tu peux donc détruire ce compte (ou au moins changer le password).
    0
  20. msmadja
     
    Merci ! super ! j'ai vu ton accès 20h15 ,nickel, merci encore
    0
  21. msmadja
     
    Bonjour,

    Pour faire fonctionner Ultra VNC (port 5900), j'ai entré
    static (inside,outside) tcp interface 5900 192.168.1.19 5900
    static (inside,outside) udp interface 5900 192.168.1.19 5900

    Pourtant cela ne fonctionne toujours pas (le ftp par contre fonctionne ok)
    Une idée ?...
    0
  • 1
  • 2