Port forwarding en PIX501
msmadja
-
pat185 -
pat185 -
Hola,
¿Cómo hacer port forwarding en PIX501 (Cisco)?
Gracias
¿Cómo hacer port forwarding en PIX501 (Cisco)?
Gracias
Configuración: Windows XP Internet Explorer 6.0
34 respuestas
- 1
- 2
Siguiente
-
Hola,
¿Puedes explicar un poco más lo que buscas hacer y precisar el nivel de versión de tu PIX? -
Bonjour,
Mon PIX est en version 6.35. Ma config est la config d'usine (aucune commande supplementaire). Je dispose d'une IP externe fixe (chez Free)
Je souhaiterais
- avoir un PC qui me serve de serveur FTP (le serveur FTP est GuildFTP installé sur Win98, fonctionne bien en interne)
- savoir de maniere generale comment on ouvre tel ou tel port ou comment on forward tel port sur tel PC: par exeemple, j'utilise UltraVNC qui necessite une redirection du port 5900 sur l'IP du PC serveur ou bien certaines applications nécessitent que soit ouvert un port particulier
- savoir enfin si il existe un doc résumant les grands principes de programmation du PIX sans avoir à se taper les 600 pages incomprehensibles et indigerables du doc de ref du PIX
Merci pour ton aide,
Marc -
Bonjour,
Il n'y a pas de doc mais des exemples tout prets (pas faciles à trouver en plus).
Je n'ai jamais pris le temps de documenter non plus d'ailleurs (mes client s'en sont tous passés en plus).
Si tu es en 6.3(5) alors voici comment ajouter une translation statique (pour permettre l'accès à un serveur depuis l'extérieur) :
translation pour le FTP (il faut préciser les ports car tu n'as qu'une IP publique)
static (inside,outside) tcp ADRESSE_PUBLIQUE ftp ADRESSE_REELLE ftp [netmask 255.255.255.255] [dns]
- l'adresse publique est l'adresse que tu donnes à la machine à l'extérieur (probablement celle du PIX) ou une du réseau entre le modem et le PIX
- l'adresse réelle est l'adresse IP de la machine sur le réseau interne
- la première option (netmask ...) est innutile car le PIX la mettra tout seul normalement
- la seconde option (dns) permet au PIX de corriger les réponses DNS (inutile dans ton cas)
Tu peux reprendre le principe de cette commande pour tout autre protocole (si le nom du protocole n'est pas connu - comme pour VNC - tu peux mettre le numéro du port)
Ensuite il faudra ouvrir une access-list pour permettre la communication :
access-list NOMACL permit tcp any host ADRESSE_PUBLIQUE eq ftp
- NOM est le nom de l'access-list , ce nom servira pour affecter l'access-list à une interface
- any => on ne connait pas à priori l'adresse IP qui va se connecter
- host ADRESSE_PUBLIQUE => l'adresse "publique" du serveur défini dans la translation, ou pourrait utiliser un autre format : ADRESSE_PUBLIQUE MASK, mais ce format est plus clair pour une IP seule
- eq ftp = le port DESTINATION doit être égal à 21 (ftp) - il existe d'autres options comme gt (plus grand que)
Enfin, il faut appliquer l'access-list à l'interface considérée :
access-group NOM_ACL in interface outside
PS : j'ai supposé que les nom des interfaces étaient inside et outside (le standard habituel) mais si ce n'est pas le cas il faut corriger les commandes en conséquence.
Voilà ... -
Hola,
Primero gracias por toda esa información. Había encontrado aproximadamente lo mismo en el sitio de Cisco, pero todavía no logro acceder al servidor ftp (al ingresar ftp://ADRESSE_PUBLIQUE)) aunque desde la red interna sí puedo…
¿Cómo verificar qué es lo que bloquea? (no he probado para VNC, pero lo intentaré igual) -
Para saber si el PIX bloquea, puedes ingresar el comando "show log".
¿También has hecho la traducción en el módem?
En el peor de los casos, envíame un mensaje privado y veremos tu configuración del PIX. -
Traducción al español: Traducción sobre el módem ???? perdón, ¡no lo conozco! (es un módem Freebox normal, sin activar la función de enrutador)
Para mi configuración.... a continuación...
Gracias de nuevo !
Construyendo configuración...
: Guardado
:
PIX Versión 6.3(5)
interfaz ethernet0 auto
interfaz ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list ACLOUT permit tcp any host 88.166.222.78 eq ftp
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.9 255.255.255.255 inside
pdm location 192.168.1.19 255.255.255.255 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp 88.166.222.78 ftp 192.168.1.19 ftp netmask 255.255.255.255 0 0
access-group ACLOUT in interface outside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.33 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
terminal width 80
Cryptochecksum:17ebe0bab980b4c633c90e238132bc49
: fin
[OK] -
Si la BOX no está en modo router, entonces funciona.
Por otro lado, hay una “incoherencia” a nivel de la configuración.
Si la interfaz “outside” está en DHCP no puedes usar la misma dirección para la traducción, pero debes “decir” al PIX que use su propia dirección.
Te propongo, por lo tanto, ingresar los siguientes comandos en tu PIX:
clear xlate ! para liberar las traducciones
no static (inside,outside) tcp 88.166.222.78 ftp 192.168.1.19 ftp netmask 255.255.255.255 0 0 ! para eliminar la traducción existente
static (inside,outside) tcp interface ftp 192.168.1.19 ftp ! para crear la nueva traducción -
-
¿Puedes ingresar los siguientes comandos en la configuración:
logg buff 5
logg histo 50
¿Puedes luego darme el resultado de los comandos siguientes justo después de hacer una prueba?
show static
sh xlate
sh arp
sh log -
Hola,
logg histo 50 a revisar un error de sintaxis
show static da:
static (inside,outside) tcp interface ftp 192.168.1.19 ftp netmask 255.255.255.255 0 0
sh xlate da:
23 in use, 250 most used
PAT Global 88.166.222.78(1034) Local 192.168.1.11(1040)
PAT Global 88.166.222.78(1055) Local 192.168.1.11(1110)
PAT Global 88.166.222.78(11831) Local 192.168.1.11(1028)
PAT Global 88.166.222.78(11829) Local 192.168.1.8(1026)
PAT Global 88.166.222.78(1744) Local 192.168.1.11(1738)
PAT Global 88.166.222.78(1756) Local 192.168.1.10(1048)
PAT Global 88.166.222.78(547) Local 192.168.1.16(752)
PAT Global 88.166.222.78(546) Local 192.168.1.16(753)
PAT Global 88.166.222.78(545) Local 192.168.1.16(754)
PAT Global 88.166.222.78(544) Local 192.168.1.16(755)
PAT Global 88.166.222.78(551) Local 192.168.1.16(747)
PAT Global 88.166.222.78(550) Local 192.168.1.16(748)
PAT Global 88.166.222.78(549) Local 192.168.1.16(750)
PAT Global 88.166.222.78(548) Local 192.168.1.16(751)
PAT Global 88.166.222.78(10755) Local 192.168.1.3(5061)
PAT Global 88.166.222.78(10754) Local 192.168.1.3(5060)
PAT Global 88.166.222.78(10756) Local 192.168.1.4(5060)
PAT Global 88.166.222.78(543) Local 192.168.1.16(756)
PAT Global 88.166.222.78(542) Local 192.168.1.16(757)
PAT Global 88.166.222.78(2851) Local 192.168.1.11(2038)
PAT Global 88.166.222.78(2852) Local 192.168.1.9(1629)
PAT Global 88.166.222.78(2816) Local 192.168.1.9(1591)
PAT Global 88.166.222.78(2846) Local 192.168.1.11(2034)
sh arp da:
outside 88.166.222.254 0007.cb48.ffdf
inside 192.168.1.11 0019.d142.ac12
inside 192.168.1.3 0018.f802.55fa
inside 192.168.1.14 0050.ba05.d36c
inside 192.168.1.8 000e.0ca1.fb07
inside 192.168.1.9 0013.72ce.78db
inside 192.168.1.16 0013.72ce.859a
inside 192.168.1.18 0013.72ce.efd4
inside 192.168.1.7 0014.222c.89e2
inside 192.168.1.10 0019.2129.b26c
inside 192.168.1.4 0001.e38f.5900
inside 192.168.1.6 0080.778e.1cb1
inside 192.168.1.5 0800.3732.bae5
inside 192.168.1.19 0013.8f81.cd42
inside 192.168.1.13 0040.f46c.f347
sh log da:
Syslog logging: disabled
Facility: 20
Timestamp logging: disabled
Standby logging: disabled
Console logging: disabled
Monitor logging: disabled
Buffer logging: level notifications, 0 messages logged
Trap logging: disabled
History logging: disabled
Device ID: disabled
Merci ! -
Hola,
En mi envío anterior no había intentado conectarme al FTP...
Resultado del comando de firewall: "sh xlate"
98 en uso, 271 más usados
PAT Global 88.166.222.78(13347) Local 192.168.1.9(3284)
PAT Global 88.166.222.78(13346) Local 192.168.1.9(3283)
PAT Global 88.166.222.78(13345) Local 192.168.1.9(3282)
PAT Global 88.166.222.78(13344) Local 192.168.1.9(3281)
PAT Global 88.166.222.78(13351) Local 192.168.1.9(3288)
PAT Global 88.166.222.78(13350) Local 192.168.1.9(3287)
PAT Global 88.166.222.78(13349) Local 192.168.1.9(3286)
PAT Global 88.166.222.78(13348) Local 192.168.1.9(3285)
PAT Global 88.166.222.78(13355) Local 192.168.1.9(3292)
PAT Global 88.166.222.78(13354) Local 192.168.1.9(3291)
PAT Global 88.166.222.78(13353) Local 192.168.1.9(3290)
PAT Global 88.166.222.78(13352) Local 192.168.1.9(3289)
PAT Global 88.166.222.78(13359) Local 192.168.1.9(3296)
PAT Global 88.166.222.78(13358) Local 192.168.1.9(3295)
PAT Global 88.166.222.78(13357) Local 192.168.1.9(3294)
PAT Global 88.166.222.78(13356) Local 192.168.1.9(3293)
PAT Global 88.166.222.78(13363) Local 192.168.1.9(3300)
PAT Global 88.166.222.78(13362) Local 192.168.1.9(3299)
PAT Global 88.166.222.78(13361) Local 192.168.1.9(3298)
PAT Global 88.166.222.78(13360) Local 192.168.1.9(3297)
PAT Global 88.166.222.78(13367) Local 192.168.1.9(3304)
PAT Global 88.166.222.78(13366) Local 192.168.1.9(3303)
PAT Global 88.166.222.78(13365) Local 192.168.1.9(3302)
PAT Global 88.166.222.78(13364) Local 192.168.1.9(3301)
PAT Global 88.166.222.78(13371) Local 192.168.1.9(3308)
PAT Global 88.166.222.78(13370) Local 192.168.1.9(3307)
PAT Global 88.166.222.78(13369) Local 192.168.1.9(3306)
PAT Global 88.166.222.78(13368) Local 192.168.1.9(3305)
PAT Global 88.166.222.78(13375) Local 192.168.1.9(3312)
PAT Global 88.166.222.78(13374) Local 192.168.1.9(3311)
PAT Global 88.166.222.78(13373) Local 192.168.1.9(3310)
PAT Global 88.166.222.78(13372) Local 192.168.1.9(3309)
PAT Global 88.166.222.78(1034) Local 192.168.1.11(1040)
PAT Global 88.166.222.78(13343) Local 192.168.1.9(3280)
PAT Global 88.166.222.78(13342) Local 192.168.1.9(3279)
PAT Global 88.166.222.78(1055) Local 192.168.1.11(1110)
PAT Global 88.166.222.78(13341) Local 192.168.1.9(3278)
PAT Global 88.166.222.78(13411) Local 192.168.1.9(3348)
PAT Global 88.166.222.78(13410) Local 192.168.1.9(3347)
PAT Global 88.166.222.78(13409) Local 192.168.1.9(3346)
PAT Global 88.166.222.78(13408) Local 192.168.1.9(3345)
PAT Global 88.166.222.78(13413) Local 192.168.1.11(4320)
PAT Global 88.166.222.78(13412) Local 192.168.1.11(4318)
PAT Global 88.166.222.78(13379) Local 192.168.1.9(3316)
PAT Global 88.166.222.78(13378) Local 192.168.1.9(3315)
PAT Global 88.166.222.78(13377) Local 192.168.1.9(3314)
PAT Global 88.166.222.78(13376) Local 192.168.1.9(3313)
PAT Global 88.166.222.78(13383) Local 192.168.1.9(3320)
PAT Global 88.166.222.78(13382) Local 192.168.1.9(3319)
PAT Global 88.166.222.78(13381) Local 192.168.1.9(3318)
PAT Global 88.166.222.78(13380) Local 192.168.1.9(3317)
PAT Global 88.166.222.78(13387) Local 192.168.1.9(3324)
PAT Global 88.166.222.78(13386) Local 192.168.1.9(3323)
PAT Global 88.166.222.78(13385) Local 192.168.1.9(3322)
PAT Global 88.166.222.78(13384) Local 192.168.1.9(3321)
PAT Global 88.166.222.78(13391) Local 192.168.1.9(3328)
PAT Global 88.166.222.78(13390) Local 192.168.1.9(3327)
PAT Global 88.166.222.78(13389) Local 192.168.1.9(3326)
PAT Global 88.166.222.78(13388) Local 192.168.1.9(3325)
PAT Global 88.166.222.78(13395) Local 192.168.1.9(3332)
PAT Global 88.166.222.78(13394) Local 192.168.1.9(3331)
PAT Global 88.166.222.78(13393) Local 192.168.1.9(3330)
PAT Global 88.166.222.78(13392) Local 192.168.1.9(3329)
PAT Global 88.166.222.78(13399) Local 192.168.1.9(3336)
PAT Global 88.166.222.78(13398) Local 192.168.1.9(3335)
PAT Global 88.166.222.78(13397) Local 192.168.1.9(3334)
PAT Global 88.166.222.78(13396) Local 192.168.1.9(3333)
PAT Global 88.166.222.78(13403) Local 192.168.1.9(3340)
PAT Global 88.166.222.78(13402) Local 192.168.1.9(3339)
PAT Global 88.166.222.78(13401) Local 192.168.1.9(3338)
PAT Global 88.166.222.78(13400) Local 192.168.1.9(3337)
PAT Global 88.166.222.78(13407) Local 192.168.1.9(3344)
PAT Global 88.166.222.78(13406) Local 192.168.1.9(3343)
PAT Global 88.166.222.78(13405) Local 192.168.1.9(3342)
PAT Global 88.166.222.78(13404) Local 192.168.1.9(3341)
PAT Global 88.166.222.78(1756) Local 192.168.1.10(1048)
PAT Global 88.166.222.78(12452) Local 192.168.1.9(1145)
PAT Global 88.166.222.78(10755) Local 192.168.1.3(5061)
PAT Global 88.166.222.78(10754) Local 192.168.1.3(5060)
PAT Global 88.166.222.78(10756) Local 192.168.1.4(5060)
PAT Global 88.166.222.78(13169) Local 192.168.1.9(3152)
PAT Global 88.166.222.78(13239) Local 192.168.1.11(4296)
PAT Global 88.166.222.78(13240) Local 192.168.1.11(4297)
PAT Global 88.166.222.78(13247) Local 192.168.1.11(4304)
PAT Global 88.166.222.78(13245) Local 192.168.1.11(4302)
PAT Global 88.166.222.78(13244) Local 192.168.1.11(4301)
PAT Global 88.166.222.78(13298) Local 192.168.1.9(3235)
PAT Global 88.166.222.78(13301) Local 192.168.1.9(3238)
PAT Global 88.166.222.78(13250) Local 192.168.1.11(4307)
PAT Global 88.166.222.78(13249) Local 192.168.1.11(4306)
PAT Global 88.166.222.78(13248) Local 192.168.1.11(4305)
PAT Global 88.166.222.78(13255) Local 192.168.1.11(4312)
PAT Global 88.166.222.78(13252) Local 192.168.1.11(4309)
PAT Global 88.166.222.78(13258) Local 192.168.1.9(3199)
PAT Global 88.166.222.78(13262) Local 192.168.1.9(3200)
PAT Global 88.166.222.78(13260) Local 192.168.1.11(4316)
PAT Global 88.166.222.78(13265) Local 192.168.1.9(3201)
PAT Global 88.166.222.78(13274) Local 192.168.1.9(3211)
Resultado del comando de firewall: "sh arp"
outside 88.166.222.254 0007.cb48.ffdf
inside 192.168.1.11 0019.d142.ac12
inside 192.168.1.18 0013.72ce.efd4
inside 192.168.1.10 0019.2129.b26c
inside 192.168.1.8 000e.0ca1.fb07
inside 192.168.1.3 0018.f802.55fa
inside 192.168.1.15 0013.72ce.8363
inside 192.168.1.13 0040.f46c.f347
inside 192.168.1.14 0050.ba05.d36c
inside 192.168.1.9 0013.72ce.78db
inside 192.168.1.19 0013.8f81.cd42
inside 192.168.1.7 0014.222c.89e2
inside 192.168.1.6 0080.778e.1cb1
inside 192.168.1.4 0001.e38f.5900
inside 192.168.1.5 0800.3732.bae5
Resultado del comando de firewall: "sh log"
Syslog logging: desactivado
Comptoir: 20
Registro de ts: desactivado
Registro en espera: desactivado
Registro en consola: desactivado
Registro de monitor: desactivado
Registro de búferes: nivel notificaciones, 0 mensajes registrados
Registro de trampa: desactivado
Registro de historial: desactivado
Identificador de dispositivo: desactivado -
Hola,
En las traducciones no se ve la traducción de "FTP", lo cual no es normal.
¿Podrías aclararme entre qué y qué intentas la conexión FTP?
Sobre el registro, no tengo la orden exacta en mente, pero más o menos hay que activar el historial de registros (al hacer logg <enter> el PIX te dará la sintaxis).</enter> -
Hola,
De hecho, escribo ftp://88.166.222.78 desde Explorer desde un otro equipo de la red. (si escribo ftp://192.168.1.19 puedo acceder al servidor FTP sin problema). Disculpa, tal vez sea un error básico pero no tengo mucha experiencia... -
Para probar la traducción, sería necesario probar desde una máquina "externa" a tu red.
Por ejemplo desde mi PC ...
Cuando hago la prueba parece funcionar (recibo una solicitud de inicio de sesión).
Si haces un sh xlate quizá veas la traducción para el servidor. -
Gracias! no entiendo muy bien por qué no funciona desde dentro, pero bueno. En definitiva, ¿qué es lo que debo añadir para abrir un puerto y redirigirlo a una máquina interna (pongamos el puerto 5900 para UltraVNC)?
-
No puedes interrogar una máquina local con una dirección NATeada a través de un PIX (es una anomalía para él). Para probar completamente, te propongo que me envíes (en mensaje privado) una cuenta que luego cerrarás.
Ahora, si quieres abrir otros puertos, introduces comandos estáticos con los puertos. Ejemplo para añadir un servicio web Y un VNC en el puerto TCP/5900:
static (inside,outside) tcp interface 80 192.168.1.19 80
static (inside,outside) tcp interface 5900 192.168.1.19 5900
Y así sucesivamente para cualquier servicio adicional que pueda haber. -
ok gracias mucho
para la prueba puedes iniciar sesión con el usuario paul (la contraseña idem) -
Funciona a la perfección, así que puedes borrar esta cuenta (o al menos cambiar la contraseña).
-
-
Hola,
Para hacer funcionar Ultra VNC (puerto 5900), he ingresado
static (inside,outside) tcp interface 5900 192.168.1.19 5900
static (inside,outside) udp interface 5900 192.168.1.19 5900
Sin embargo aún no funciona (el ftp sí funciona OK)
¿Alguna idea?...
- 1
- 2
Siguiente