Port forwarding en PIX501

msmadja -  
 pat185 -
Hola,

¿Cómo hacer port forwarding en PIX501 (Cisco)?
Gracias
Configuración: Windows XP Internet Explorer 6.0

34 respuestas

  • 1
  • 2
  1. ianvs Mensajes publicados 539 Fecha de registro   Estado Miembro Última intervención   209
     
    Hola,

    ¿Puedes explicar un poco más lo que buscas hacer y precisar el nivel de versión de tu PIX?
    0
  2. msmadja
     
    Bonjour,

    Mon PIX est en version 6.35. Ma config est la config d'usine (aucune commande supplementaire). Je dispose d'une IP externe fixe (chez Free)

    Je souhaiterais
    - avoir un PC qui me serve de serveur FTP (le serveur FTP est GuildFTP installé sur Win98, fonctionne bien en interne)
    - savoir de maniere generale comment on ouvre tel ou tel port ou comment on forward tel port sur tel PC: par exeemple, j'utilise UltraVNC qui necessite une redirection du port 5900 sur l'IP du PC serveur ou bien certaines applications nécessitent que soit ouvert un port particulier
    - savoir enfin si il existe un doc résumant les grands principes de programmation du PIX sans avoir à se taper les 600 pages incomprehensibles et indigerables du doc de ref du PIX

    Merci pour ton aide,
    Marc
    0
  3. ianvs Mensajes publicados 539 Fecha de registro   Estado Miembro Última intervención   209
     
    Bonjour,

    Il n'y a pas de doc mais des exemples tout prets (pas faciles à trouver en plus).

    Je n'ai jamais pris le temps de documenter non plus d'ailleurs (mes client s'en sont tous passés en plus).

    Si tu es en 6.3(5) alors voici comment ajouter une translation statique (pour permettre l'accès à un serveur depuis l'extérieur) :
    translation pour le FTP (il faut préciser les ports car tu n'as qu'une IP publique)
    static (inside,outside) tcp ADRESSE_PUBLIQUE ftp ADRESSE_REELLE ftp [netmask 255.255.255.255] [dns]
    - l'adresse publique est l'adresse que tu donnes à la machine à l'extérieur (probablement celle du PIX) ou une du réseau entre le modem et le PIX
    - l'adresse réelle est l'adresse IP de la machine sur le réseau interne
    - la première option (netmask ...) est innutile car le PIX la mettra tout seul normalement
    - la seconde option (dns) permet au PIX de corriger les réponses DNS (inutile dans ton cas)
    Tu peux reprendre le principe de cette commande pour tout autre protocole (si le nom du protocole n'est pas connu - comme pour VNC - tu peux mettre le numéro du port)

    Ensuite il faudra ouvrir une access-list pour permettre la communication :
    access-list NOMACL permit tcp any host ADRESSE_PUBLIQUE eq ftp
    - NOM est le nom de l'access-list , ce nom servira pour affecter l'access-list à une interface
    - any => on ne connait pas à priori l'adresse IP qui va se connecter
    - host ADRESSE_PUBLIQUE => l'adresse "publique" du serveur défini dans la translation, ou pourrait utiliser un autre format : ADRESSE_PUBLIQUE MASK, mais ce format est plus clair pour une IP seule
    - eq ftp = le port DESTINATION doit être égal à 21 (ftp) - il existe d'autres options comme gt (plus grand que)

    Enfin, il faut appliquer l'access-list à l'interface considérée :
    access-group NOM_ACL in interface outside

    PS : j'ai supposé que les nom des interfaces étaient inside et outside (le standard habituel) mais si ce n'est pas le cas il faut corriger les commandes en conséquence.

    Voilà ...
    0
  4. msmadja
     
    Hola,

    Primero gracias por toda esa información. Había encontrado aproximadamente lo mismo en el sitio de Cisco, pero todavía no logro acceder al servidor ftp (al ingresar ftp://ADRESSE_PUBLIQUE)) aunque desde la red interna sí puedo…
    ¿Cómo verificar qué es lo que bloquea? (no he probado para VNC, pero lo intentaré igual)
    0
  5. ianvs Mensajes publicados 539 Fecha de registro   Estado Miembro Última intervención   209
     
    Para saber si el PIX bloquea, puedes ingresar el comando "show log".
    ¿También has hecho la traducción en el módem?

    En el peor de los casos, envíame un mensaje privado y veremos tu configuración del PIX.
    0
  6. msmadja
     
    Traducción al español: Traducción sobre el módem ???? perdón, ¡no lo conozco! (es un módem Freebox normal, sin activar la función de enrutador)

    Para mi configuración.... a continuación...
    Gracias de nuevo !

    Construyendo configuración...
    : Guardado
    :
    PIX Versión 6.3(5)
    interfaz ethernet0 auto
    interfaz ethernet1 100full
    nameif ethernet0 outside security0
    nameif ethernet1 inside security100
    enable password 8Ry2YjIyt7RRXU24 encrypted
    passwd 2KFQnbNIdI.2KYOU encrypted
    hostname pixfirewall
    domain-name ciscopix.com
    fixup protocol dns maximum-length 512
    fixup protocol ftp 21
    fixup protocol h323 h225 1720
    fixup protocol h323 ras 1718-1719
    fixup protocol http 80
    fixup protocol rsh 514
    fixup protocol rtsp 554
    fixup protocol sip 5060
    fixup protocol sip udp 5060
    fixup protocol skinny 2000
    fixup protocol smtp 25
    fixup protocol sqlnet 1521
    fixup protocol tftp 69
    names
    access-list ACLOUT permit tcp any host 88.166.222.78 eq ftp
    pager lines 24
    mtu outside 1500
    mtu inside 1500
    ip address outside dhcp setroute
    ip address inside 192.168.1.1 255.255.255.0
    ip audit info action alarm
    ip audit attack action alarm
    pdm location 192.168.1.9 255.255.255.255 inside
    pdm location 192.168.1.19 255.255.255.255 inside
    pdm logging informational 100
    pdm history enable
    arp timeout 14400
    global (outside) 1 interface
    nat (inside) 1 0.0.0.0 0.0.0.0 0 0
    static (inside,outside) tcp 88.166.222.78 ftp 192.168.1.19 ftp netmask 255.255.255.255 0 0
    access-group ACLOUT in interface outside
    timeout xlate 0:05:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
    timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
    timeout sip-disconnect 0:02:00 sip-invite 0:03:00
    timeout uauth 0:05:00 absolute
    aaa-server TACACS+ protocol tacacs+
    aaa-server TACACS+ max-failed-attempts 3
    aaa-server TACACS+ deadtime 10
    aaa-server RADIUS protocol radius
    aaa-server RADIUS max-failed-attempts 3
    aaa-server RADIUS deadtime 10
    aaa-server LOCAL protocol local
    http server enable
    http 192.168.1.0 255.255.255.0 inside
    no snmp-server location
    no snmp-server contact
    snmp-server community public
    no snmp-server enable traps
    floodguard enable
    telnet timeout 5
    ssh timeout 5
    console timeout 0
    dhcpd address 192.168.1.2-192.168.1.33 inside
    dhcpd lease 3600
    dhcpd ping_timeout 750
    dhcpd auto_config outside
    dhcpd enable inside
    terminal width 80
    Cryptochecksum:17ebe0bab980b4c633c90e238132bc49
    : fin
    [OK]
    0
  7. ianvs Mensajes publicados 539 Fecha de registro   Estado Miembro Última intervención   209
     
    Si la BOX no está en modo router, entonces funciona.

    Por otro lado, hay una “incoherencia” a nivel de la configuración.
    Si la interfaz “outside” está en DHCP no puedes usar la misma dirección para la traducción, pero debes “decir” al PIX que use su propia dirección.

    Te propongo, por lo tanto, ingresar los siguientes comandos en tu PIX:
    clear xlate ! para liberar las traducciones
    no static (inside,outside) tcp 88.166.222.78 ftp 192.168.1.19 ftp netmask 255.255.255.255 0 0 ! para eliminar la traducción existente
    static (inside,outside) tcp interface ftp 192.168.1.19 ftp ! para crear la nueva traducción
    0
  8. msmadja
     
    Hola,

    Siento que todavía no... empiezo a desesperarme...
    0
  9. ianvs Mensajes publicados 539 Fecha de registro   Estado Miembro Última intervención   209
     
    ¿Puedes ingresar los siguientes comandos en la configuración:
    logg buff 5
    logg histo 50

    ¿Puedes luego darme el resultado de los comandos siguientes justo después de hacer una prueba?
    show static
    sh xlate
    sh arp
    sh log
    0
  10. msmadja
     
    Hola,

    logg histo 50 a revisar un error de sintaxis
    show static da:
    static (inside,outside) tcp interface ftp 192.168.1.19 ftp netmask 255.255.255.255 0 0

    sh xlate da:
    23 in use, 250 most used
    PAT Global 88.166.222.78(1034) Local 192.168.1.11(1040)
    PAT Global 88.166.222.78(1055) Local 192.168.1.11(1110)
    PAT Global 88.166.222.78(11831) Local 192.168.1.11(1028)
    PAT Global 88.166.222.78(11829) Local 192.168.1.8(1026)
    PAT Global 88.166.222.78(1744) Local 192.168.1.11(1738)
    PAT Global 88.166.222.78(1756) Local 192.168.1.10(1048)
    PAT Global 88.166.222.78(547) Local 192.168.1.16(752)
    PAT Global 88.166.222.78(546) Local 192.168.1.16(753)
    PAT Global 88.166.222.78(545) Local 192.168.1.16(754)
    PAT Global 88.166.222.78(544) Local 192.168.1.16(755)
    PAT Global 88.166.222.78(551) Local 192.168.1.16(747)
    PAT Global 88.166.222.78(550) Local 192.168.1.16(748)
    PAT Global 88.166.222.78(549) Local 192.168.1.16(750)
    PAT Global 88.166.222.78(548) Local 192.168.1.16(751)
    PAT Global 88.166.222.78(10755) Local 192.168.1.3(5061)
    PAT Global 88.166.222.78(10754) Local 192.168.1.3(5060)
    PAT Global 88.166.222.78(10756) Local 192.168.1.4(5060)
    PAT Global 88.166.222.78(543) Local 192.168.1.16(756)
    PAT Global 88.166.222.78(542) Local 192.168.1.16(757)
    PAT Global 88.166.222.78(2851) Local 192.168.1.11(2038)
    PAT Global 88.166.222.78(2852) Local 192.168.1.9(1629)
    PAT Global 88.166.222.78(2816) Local 192.168.1.9(1591)
    PAT Global 88.166.222.78(2846) Local 192.168.1.11(2034)

    sh arp da:
    outside 88.166.222.254 0007.cb48.ffdf
    inside 192.168.1.11 0019.d142.ac12
    inside 192.168.1.3 0018.f802.55fa
    inside 192.168.1.14 0050.ba05.d36c
    inside 192.168.1.8 000e.0ca1.fb07
    inside 192.168.1.9 0013.72ce.78db
    inside 192.168.1.16 0013.72ce.859a
    inside 192.168.1.18 0013.72ce.efd4
    inside 192.168.1.7 0014.222c.89e2
    inside 192.168.1.10 0019.2129.b26c
    inside 192.168.1.4 0001.e38f.5900
    inside 192.168.1.6 0080.778e.1cb1
    inside 192.168.1.5 0800.3732.bae5
    inside 192.168.1.19 0013.8f81.cd42
    inside 192.168.1.13 0040.f46c.f347

    sh log da:
    Syslog logging: disabled
    Facility: 20
    Timestamp logging: disabled
    Standby logging: disabled
    Console logging: disabled
    Monitor logging: disabled
    Buffer logging: level notifications, 0 messages logged
    Trap logging: disabled
    History logging: disabled
    Device ID: disabled

    Merci !
    0
  11. msmadja
     
    Hola,

    En mi envío anterior no había intentado conectarme al FTP...

    Resultado del comando de firewall: "sh xlate"

    98 en uso, 271 más usados
    PAT Global 88.166.222.78(13347) Local 192.168.1.9(3284)
    PAT Global 88.166.222.78(13346) Local 192.168.1.9(3283)
    PAT Global 88.166.222.78(13345) Local 192.168.1.9(3282)
    PAT Global 88.166.222.78(13344) Local 192.168.1.9(3281)
    PAT Global 88.166.222.78(13351) Local 192.168.1.9(3288)
    PAT Global 88.166.222.78(13350) Local 192.168.1.9(3287)
    PAT Global 88.166.222.78(13349) Local 192.168.1.9(3286)
    PAT Global 88.166.222.78(13348) Local 192.168.1.9(3285)
    PAT Global 88.166.222.78(13355) Local 192.168.1.9(3292)
    PAT Global 88.166.222.78(13354) Local 192.168.1.9(3291)
    PAT Global 88.166.222.78(13353) Local 192.168.1.9(3290)
    PAT Global 88.166.222.78(13352) Local 192.168.1.9(3289)
    PAT Global 88.166.222.78(13359) Local 192.168.1.9(3296)
    PAT Global 88.166.222.78(13358) Local 192.168.1.9(3295)
    PAT Global 88.166.222.78(13357) Local 192.168.1.9(3294)
    PAT Global 88.166.222.78(13356) Local 192.168.1.9(3293)
    PAT Global 88.166.222.78(13363) Local 192.168.1.9(3300)
    PAT Global 88.166.222.78(13362) Local 192.168.1.9(3299)
    PAT Global 88.166.222.78(13361) Local 192.168.1.9(3298)
    PAT Global 88.166.222.78(13360) Local 192.168.1.9(3297)
    PAT Global 88.166.222.78(13367) Local 192.168.1.9(3304)
    PAT Global 88.166.222.78(13366) Local 192.168.1.9(3303)
    PAT Global 88.166.222.78(13365) Local 192.168.1.9(3302)
    PAT Global 88.166.222.78(13364) Local 192.168.1.9(3301)
    PAT Global 88.166.222.78(13371) Local 192.168.1.9(3308)
    PAT Global 88.166.222.78(13370) Local 192.168.1.9(3307)
    PAT Global 88.166.222.78(13369) Local 192.168.1.9(3306)
    PAT Global 88.166.222.78(13368) Local 192.168.1.9(3305)
    PAT Global 88.166.222.78(13375) Local 192.168.1.9(3312)
    PAT Global 88.166.222.78(13374) Local 192.168.1.9(3311)
    PAT Global 88.166.222.78(13373) Local 192.168.1.9(3310)
    PAT Global 88.166.222.78(13372) Local 192.168.1.9(3309)
    PAT Global 88.166.222.78(1034) Local 192.168.1.11(1040)
    PAT Global 88.166.222.78(13343) Local 192.168.1.9(3280)
    PAT Global 88.166.222.78(13342) Local 192.168.1.9(3279)
    PAT Global 88.166.222.78(1055) Local 192.168.1.11(1110)
    PAT Global 88.166.222.78(13341) Local 192.168.1.9(3278)
    PAT Global 88.166.222.78(13411) Local 192.168.1.9(3348)
    PAT Global 88.166.222.78(13410) Local 192.168.1.9(3347)
    PAT Global 88.166.222.78(13409) Local 192.168.1.9(3346)
    PAT Global 88.166.222.78(13408) Local 192.168.1.9(3345)
    PAT Global 88.166.222.78(13413) Local 192.168.1.11(4320)
    PAT Global 88.166.222.78(13412) Local 192.168.1.11(4318)
    PAT Global 88.166.222.78(13379) Local 192.168.1.9(3316)
    PAT Global 88.166.222.78(13378) Local 192.168.1.9(3315)
    PAT Global 88.166.222.78(13377) Local 192.168.1.9(3314)
    PAT Global 88.166.222.78(13376) Local 192.168.1.9(3313)
    PAT Global 88.166.222.78(13383) Local 192.168.1.9(3320)
    PAT Global 88.166.222.78(13382) Local 192.168.1.9(3319)
    PAT Global 88.166.222.78(13381) Local 192.168.1.9(3318)
    PAT Global 88.166.222.78(13380) Local 192.168.1.9(3317)
    PAT Global 88.166.222.78(13387) Local 192.168.1.9(3324)
    PAT Global 88.166.222.78(13386) Local 192.168.1.9(3323)
    PAT Global 88.166.222.78(13385) Local 192.168.1.9(3322)
    PAT Global 88.166.222.78(13384) Local 192.168.1.9(3321)
    PAT Global 88.166.222.78(13391) Local 192.168.1.9(3328)
    PAT Global 88.166.222.78(13390) Local 192.168.1.9(3327)
    PAT Global 88.166.222.78(13389) Local 192.168.1.9(3326)
    PAT Global 88.166.222.78(13388) Local 192.168.1.9(3325)
    PAT Global 88.166.222.78(13395) Local 192.168.1.9(3332)
    PAT Global 88.166.222.78(13394) Local 192.168.1.9(3331)
    PAT Global 88.166.222.78(13393) Local 192.168.1.9(3330)
    PAT Global 88.166.222.78(13392) Local 192.168.1.9(3329)
    PAT Global 88.166.222.78(13399) Local 192.168.1.9(3336)
    PAT Global 88.166.222.78(13398) Local 192.168.1.9(3335)
    PAT Global 88.166.222.78(13397) Local 192.168.1.9(3334)
    PAT Global 88.166.222.78(13396) Local 192.168.1.9(3333)
    PAT Global 88.166.222.78(13403) Local 192.168.1.9(3340)
    PAT Global 88.166.222.78(13402) Local 192.168.1.9(3339)
    PAT Global 88.166.222.78(13401) Local 192.168.1.9(3338)
    PAT Global 88.166.222.78(13400) Local 192.168.1.9(3337)
    PAT Global 88.166.222.78(13407) Local 192.168.1.9(3344)
    PAT Global 88.166.222.78(13406) Local 192.168.1.9(3343)
    PAT Global 88.166.222.78(13405) Local 192.168.1.9(3342)
    PAT Global 88.166.222.78(13404) Local 192.168.1.9(3341)
    PAT Global 88.166.222.78(1756) Local 192.168.1.10(1048)
    PAT Global 88.166.222.78(12452) Local 192.168.1.9(1145)
    PAT Global 88.166.222.78(10755) Local 192.168.1.3(5061)
    PAT Global 88.166.222.78(10754) Local 192.168.1.3(5060)
    PAT Global 88.166.222.78(10756) Local 192.168.1.4(5060)
    PAT Global 88.166.222.78(13169) Local 192.168.1.9(3152)
    PAT Global 88.166.222.78(13239) Local 192.168.1.11(4296)
    PAT Global 88.166.222.78(13240) Local 192.168.1.11(4297)
    PAT Global 88.166.222.78(13247) Local 192.168.1.11(4304)
    PAT Global 88.166.222.78(13245) Local 192.168.1.11(4302)
    PAT Global 88.166.222.78(13244) Local 192.168.1.11(4301)
    PAT Global 88.166.222.78(13298) Local 192.168.1.9(3235)
    PAT Global 88.166.222.78(13301) Local 192.168.1.9(3238)
    PAT Global 88.166.222.78(13250) Local 192.168.1.11(4307)
    PAT Global 88.166.222.78(13249) Local 192.168.1.11(4306)
    PAT Global 88.166.222.78(13248) Local 192.168.1.11(4305)
    PAT Global 88.166.222.78(13255) Local 192.168.1.11(4312)
    PAT Global 88.166.222.78(13252) Local 192.168.1.11(4309)
    PAT Global 88.166.222.78(13258) Local 192.168.1.9(3199)
    PAT Global 88.166.222.78(13262) Local 192.168.1.9(3200)
    PAT Global 88.166.222.78(13260) Local 192.168.1.11(4316)
    PAT Global 88.166.222.78(13265) Local 192.168.1.9(3201)
    PAT Global 88.166.222.78(13274) Local 192.168.1.9(3211)

    Resultado del comando de firewall: "sh arp"

    outside 88.166.222.254 0007.cb48.ffdf
    inside 192.168.1.11 0019.d142.ac12
    inside 192.168.1.18 0013.72ce.efd4
    inside 192.168.1.10 0019.2129.b26c
    inside 192.168.1.8 000e.0ca1.fb07
    inside 192.168.1.3 0018.f802.55fa
    inside 192.168.1.15 0013.72ce.8363
    inside 192.168.1.13 0040.f46c.f347
    inside 192.168.1.14 0050.ba05.d36c
    inside 192.168.1.9 0013.72ce.78db
    inside 192.168.1.19 0013.8f81.cd42
    inside 192.168.1.7 0014.222c.89e2
    inside 192.168.1.6 0080.778e.1cb1
    inside 192.168.1.4 0001.e38f.5900
    inside 192.168.1.5 0800.3732.bae5

    Resultado del comando de firewall: "sh log"

    Syslog logging: desactivado
    Comptoir: 20
    Registro de ts: desactivado
    Registro en espera: desactivado
    Registro en consola: desactivado
    Registro de monitor: desactivado
    Registro de búferes: nivel notificaciones, 0 mensajes registrados
    Registro de trampa: desactivado
    Registro de historial: desactivado
    Identificador de dispositivo: desactivado
    0
  12. ianvs Mensajes publicados 539 Fecha de registro   Estado Miembro Última intervención   209
     
    Hola,

    En las traducciones no se ve la traducción de "FTP", lo cual no es normal.
    ¿Podrías aclararme entre qué y qué intentas la conexión FTP?

    Sobre el registro, no tengo la orden exacta en mente, pero más o menos hay que activar el historial de registros (al hacer logg <enter> el PIX te dará la sintaxis).</enter>
    0
  13. msmadja
     
    Hola,

    De hecho, escribo ftp://88.166.222.78 desde Explorer desde un otro equipo de la red. (si escribo ftp://192.168.1.19 puedo acceder al servidor FTP sin problema). Disculpa, tal vez sea un error básico pero no tengo mucha experiencia...
    0
  14. ianvs Mensajes publicados 539 Fecha de registro   Estado Miembro Última intervención   209
     
    Para probar la traducción, sería necesario probar desde una máquina "externa" a tu red.
    Por ejemplo desde mi PC ...
    Cuando hago la prueba parece funcionar (recibo una solicitud de inicio de sesión).

    Si haces un sh xlate quizá veas la traducción para el servidor.
    0
  15. msmadja
     
    Gracias! no entiendo muy bien por qué no funciona desde dentro, pero bueno. En definitiva, ¿qué es lo que debo añadir para abrir un puerto y redirigirlo a una máquina interna (pongamos el puerto 5900 para UltraVNC)?
    0
  16. ianvs Mensajes publicados 539 Fecha de registro   Estado Miembro Última intervención   209
     
    No puedes interrogar una máquina local con una dirección NATeada a través de un PIX (es una anomalía para él). Para probar completamente, te propongo que me envíes (en mensaje privado) una cuenta que luego cerrarás.

    Ahora, si quieres abrir otros puertos, introduces comandos estáticos con los puertos. Ejemplo para añadir un servicio web Y un VNC en el puerto TCP/5900:
    static (inside,outside) tcp interface 80 192.168.1.19 80
    static (inside,outside) tcp interface 5900 192.168.1.19 5900

    Y así sucesivamente para cualquier servicio adicional que pueda haber.
    0
  17. msmadja
     
    ok gracias mucho
    para la prueba puedes iniciar sesión con el usuario paul (la contraseña idem)
    0
  18. ianvs Mensajes publicados 539 Fecha de registro   Estado Miembro Última intervención   209
     
    Funciona a la perfección, así que puedes borrar esta cuenta (o al menos cambiar la contraseña).
    0
  19. msmadja
     
    ¡Gracias! ¡Genial! He visto tu acceso a las 20:15, ¡genial, gracias de nuevo!
    0
  20. msmadja
     
    Hola,

    Para hacer funcionar Ultra VNC (puerto 5900), he ingresado
    static (inside,outside) tcp interface 5900 192.168.1.19 5900
    static (inside,outside) udp interface 5900 192.168.1.19 5900

    Sin embargo aún no funciona (el ftp sí funciona OK)
    ¿Alguna idea?...
    0
  • 1
  • 2