Port forwarding sur PIX501

Question

Bonjour, 

Comment faire du port forwarding sur PIX501 (Cisco)?
Merci

ianvs · Answer

Bonjour,

Peux-tu expliquer un peu plus ce que tu cherches à faire et préciser le niveau de version de ton PIX ?

msmadja · Answer

Bonjour, 

Mon PIX est en version 6.35. Ma config est la config d'usine (aucune commande supplementaire). Je dispose d'une IP externe fixe (chez Free)
Je souhaiterais
- avoir un PC qui me serve de serveur FTP (le serveur FTP est GuildFTP installé sur Win98, fonctionne bien en interne)
- savoir de maniere generale comment on ouvre tel ou tel port ou comment on forward tel port sur tel PC: par exeemple, j'utilise UltraVNC qui necessite une redirection du port 5900 sur l'IP du PC serveur ou bien certaines applications nécessitent que soit ouvert un port particulier
- savoir enfin si il existe un doc résumant les grands principes de programmation du PIX sans avoir à se taper les 600 pages incomprehensibles et indigerables du doc de ref du PIX
Merci pour ton aide,
Marc

ianvs · Answer

Bonjour,

Il n'y a pas de doc mais des exemples tout prets (pas faciles à trouver en plus).

Je n'ai jamais pris le temps de documenter non plus d'ailleurs (mes client s'en sont tous passés en plus).

Si tu es en 6.3(5) alors voici comment ajouter une translation statique (pour permettre l'accès à un serveur depuis l'extérieur) :
translation pour le FTP (il faut préciser les ports car tu n'as qu'une IP publique)
static (inside,outside) tcp ADRESSE_PUBLIQUE ftp ADRESSE_REELLE ftp [netmask 255.255.255.255] [dns]
  - l'adresse publique est l'adresse que tu donnes à la machine à l'extérieur (probablement celle du PIX) ou une du réseau entre le modem et le PIX
  - l'adresse réelle est l'adresse IP de la machine sur le réseau interne
  - la première option (netmask ...) est innutile car le PIX la mettra tout seul normalement
  - la seconde option (dns) permet au PIX de corriger les réponses DNS (inutile dans ton cas)
Tu peux reprendre le principe de cette commande pour tout autre protocole (si le nom du protocole n'est pas connu - comme pour VNC - tu peux mettre le numéro du port)

Ensuite il faudra ouvrir une access-list pour permettre la communication :
access-list NOMACL permit tcp any host ADRESSE_PUBLIQUE eq ftp
  - NOM est le nom de l'access-list , ce nom servira pour affecter l'access-list à une interface
  - any => on ne connait pas à priori l'adresse IP qui va se connecter
  - host ADRESSE_PUBLIQUE => l'adresse "publique" du serveur défini dans la translation, ou pourrait utiliser un autre format : ADRESSE_PUBLIQUE MASK, mais ce format est plus clair pour une IP seule
  - eq ftp = le port DESTINATION doit être égal à 21 (ftp) - il existe d'autres options comme gt (plus grand que)

Enfin, il faut appliquer l'access-list à l'interface considérée :
access-group NOM_ACL in interface outside

PS : j'ai supposé que les nom des interfaces étaient inside et outside (le standard habituel) mais si ce n'est pas le cas il faut corriger les commandes en conséquence.

Voilà ...

msmadja · Answer

Bonjour, 

Merci tout d'abord pour toutes ces infos. J'avais trouvé à peu pres la meme chose sur le site Cisco, mais je n'arrive toujours pas a acceder au serveur ftp (en entrant ftp://ADRESSE_PUBLIQUE) alors qu'en interne j'y accede...
Coment verifier ce qui bloque? (je n'ai pas essayé pour VNC, mais j'essaye qd mm)

ianvs · Answer

Pour savoir si le PIX bloque, tu peux entrer la commande "show log".
As-tu aussi fait de la translation sur le modem ?

Au pire, envoie moi un message privé et nous verrons ta config du PIX.

msmadja · Answer

Translation sur le modem ???? sorry connais pas ! (c'est un modem Freebox normal, sans activation de la fonction routeur)

Pour ma config.... ci-après...
Merci encore !

Building configuration...
: Saved
:
PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list ACLOUT permit tcp any host 88.166.222.78 eq ftp 
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside 192.168.1.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.9 255.255.255.255 inside
pdm location 192.168.1.19 255.255.255.255 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp 88.166.222.78 ftp 192.168.1.19 ftp netmask 255.255.255.255 0 0 
access-group ACLOUT in interface outside
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server TACACS+ max-failed-attempts 3 
aaa-server TACACS+ deadtime 10 
aaa-server RADIUS protocol radius 
aaa-server RADIUS max-failed-attempts 3 
aaa-server RADIUS deadtime 10 
aaa-server LOCAL protocol local 
http server enable
http 192.168.1.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd address 192.168.1.2-192.168.1.33 inside
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
dhcpd enable inside
terminal width 80
Cryptochecksum:17ebe0bab980b4c633c90e238132bc49
: end
[OK]

ianvs · Answer

Si la BOX n'est pas en mode routeur alors ça roule.

Par contre il y a une "incohérence" au niveau de la config.
Si l'interface "outside" est en DHCP tu ne peux pas utiliser la même adresse pour la translation, mais tu dois "dire" au PIX d'utiliser sa propre adresse.

Je te propose donc d'entrer les commandes suivantes dans ton PIX :
clear xlate ! pour libérer les translations
no static (inside,outside) tcp 88.166.222.78 ftp 192.168.1.19 ftp netmask 255.255.255.255 0 0 ! pour supprimer la translation existante
static (inside,outside) tcp interface ftp 192.168.1.19 ftp ! pour créer la nouvelle translation

msmadja · Answer

Bonjour, 

Sorry toujours pas .... je commence à déseperer...

ianvs · Answer

Peux-tu entrer les commandes suivante dans la config :
logg buff 5
logg histo 50

Peux-tu ensuite me donner le résultat des commandes suivantes juste après avoir fait un test ?
show static
sh xlate
sh arp
sh log

msmadja · Answer

Bonjour, 

logg histo 50 a revoyer une erreur de syntax
show static donne:
static (inside,outside) tcp interface ftp 192.168.1.19 ftp netmask 255.255.255.255 0 0 

sh xlate donne:
23 in use, 250 most used
PAT Global 88.166.222.78(1034) Local 192.168.1.11(1040) 
PAT Global 88.166.222.78(1055) Local 192.168.1.11(1110) 
PAT Global 88.166.222.78(11831) Local 192.168.1.11(1028) 
PAT Global 88.166.222.78(11829) Local 192.168.1.8(1026) 
PAT Global 88.166.222.78(1744) Local 192.168.1.11(1738) 
PAT Global 88.166.222.78(1756) Local 192.168.1.10(1048) 
PAT Global 88.166.222.78(547) Local 192.168.1.16(752) 
PAT Global 88.166.222.78(546) Local 192.168.1.16(753) 
PAT Global 88.166.222.78(545) Local 192.168.1.16(754) 
PAT Global 88.166.222.78(544) Local 192.168.1.16(755) 
PAT Global 88.166.222.78(551) Local 192.168.1.16(747) 
PAT Global 88.166.222.78(550) Local 192.168.1.16(748) 
PAT Global 88.166.222.78(549) Local 192.168.1.16(750) 
PAT Global 88.166.222.78(548) Local 192.168.1.16(751) 
PAT Global 88.166.222.78(10755) Local 192.168.1.3(5061) 
PAT Global 88.166.222.78(10754) Local 192.168.1.3(5060) 
PAT Global 88.166.222.78(10756) Local 192.168.1.4(5060) 
PAT Global 88.166.222.78(543) Local 192.168.1.16(756) 
PAT Global 88.166.222.78(542) Local 192.168.1.16(757) 
PAT Global 88.166.222.78(2851) Local 192.168.1.11(2038) 
PAT Global 88.166.222.78(2852) Local 192.168.1.9(1629) 
PAT Global 88.166.222.78(2816) Local 192.168.1.9(1591) 
PAT Global 88.166.222.78(2846) Local 192.168.1.11(2034) 

sh arp donne:
	outside 88.166.222.254 0007.cb48.ffdf 
	inside 192.168.1.11 0019.d142.ac12 
	inside 192.168.1.3 0018.f802.55fa 
	inside 192.168.1.14 0050.ba05.d36c 
	inside 192.168.1.8 000e.0ca1.fb07 
	inside 192.168.1.9 0013.72ce.78db 
	inside 192.168.1.16 0013.72ce.859a 
	inside 192.168.1.18 0013.72ce.efd4 
	inside 192.168.1.7 0014.222c.89e2 
	inside 192.168.1.10 0019.2129.b26c 
	inside 192.168.1.4 0001.e38f.5900 
	inside 192.168.1.6 0080.778e.1cb1 
	inside 192.168.1.5 0800.3732.bae5 
	inside 192.168.1.19 0013.8f81.cd42 
	inside 192.168.1.13 0040.f46c.f347 

sh log donne:
Syslog logging: disabled
    Facility: 20
    Timestamp logging: disabled
    Standby logging: disabled
    Console logging: disabled
    Monitor logging: disabled
    Buffer logging: level notifications, 0 messages logged
    Trap logging: disabled
    History logging: disabled
    Device ID: disabled

Merci !

msmadja · Answer

Bonjour, 

Dans mon envoi précédent je n'avais pas essayé de me connecter au ftp...

Result of firewall command: "sh xlate"
 
98 in use, 271 most used
PAT Global 88.166.222.78(13347) Local 192.168.1.9(3284) 
PAT Global 88.166.222.78(13346) Local 192.168.1.9(3283) 
PAT Global 88.166.222.78(13345) Local 192.168.1.9(3282) 
PAT Global 88.166.222.78(13344) Local 192.168.1.9(3281) 
PAT Global 88.166.222.78(13351) Local 192.168.1.9(3288) 
PAT Global 88.166.222.78(13350) Local 192.168.1.9(3287) 
PAT Global 88.166.222.78(13349) Local 192.168.1.9(3286) 
PAT Global 88.166.222.78(13348) Local 192.168.1.9(3285) 
PAT Global 88.166.222.78(13355) Local 192.168.1.9(3292) 
PAT Global 88.166.222.78(13354) Local 192.168.1.9(3291) 
PAT Global 88.166.222.78(13353) Local 192.168.1.9(3290) 
PAT Global 88.166.222.78(13352) Local 192.168.1.9(3289) 
PAT Global 88.166.222.78(13359) Local 192.168.1.9(3296) 
PAT Global 88.166.222.78(13358) Local 192.168.1.9(3295) 
PAT Global 88.166.222.78(13357) Local 192.168.1.9(3294) 
PAT Global 88.166.222.78(13356) Local 192.168.1.9(3293) 
PAT Global 88.166.222.78(13363) Local 192.168.1.9(3300) 
PAT Global 88.166.222.78(13362) Local 192.168.1.9(3299) 
PAT Global 88.166.222.78(13361) Local 192.168.1.9(3298) 
PAT Global 88.166.222.78(13360) Local 192.168.1.9(3297) 
PAT Global 88.166.222.78(13367) Local 192.168.1.9(3304) 
PAT Global 88.166.222.78(13366) Local 192.168.1.9(3303) 
PAT Global 88.166.222.78(13365) Local 192.168.1.9(3302) 
PAT Global 88.166.222.78(13364) Local 192.168.1.9(3301) 
PAT Global 88.166.222.78(13371) Local 192.168.1.9(3308) 
PAT Global 88.166.222.78(13370) Local 192.168.1.9(3307) 
PAT Global 88.166.222.78(13369) Local 192.168.1.9(3306) 
PAT Global 88.166.222.78(13368) Local 192.168.1.9(3305) 
PAT Global 88.166.222.78(13375) Local 192.168.1.9(3312) 
PAT Global 88.166.222.78(13374) Local 192.168.1.9(3311) 
PAT Global 88.166.222.78(13373) Local 192.168.1.9(3310) 
PAT Global 88.166.222.78(13372) Local 192.168.1.9(3309) 
PAT Global 88.166.222.78(1034) Local 192.168.1.11(1040) 
PAT Global 88.166.222.78(13343) Local 192.168.1.9(3280) 
PAT Global 88.166.222.78(13342) Local 192.168.1.9(3279) 
PAT Global 88.166.222.78(1055) Local 192.168.1.11(1110) 
PAT Global 88.166.222.78(13341) Local 192.168.1.9(3278) 
PAT Global 88.166.222.78(13411) Local 192.168.1.9(3348) 
PAT Global 88.166.222.78(13410) Local 192.168.1.9(3347) 
PAT Global 88.166.222.78(13409) Local 192.168.1.9(3346) 
PAT Global 88.166.222.78(13408) Local 192.168.1.9(3345) 
PAT Global 88.166.222.78(13413) Local 192.168.1.11(4320) 
PAT Global 88.166.222.78(13412) Local 192.168.1.11(4318) 
PAT Global 88.166.222.78(13379) Local 192.168.1.9(3316) 
PAT Global 88.166.222.78(13378) Local 192.168.1.9(3315) 
PAT Global 88.166.222.78(13377) Local 192.168.1.9(3314) 
PAT Global 88.166.222.78(13376) Local 192.168.1.9(3313) 
PAT Global 88.166.222.78(13383) Local 192.168.1.9(3320) 
PAT Global 88.166.222.78(13382) Local 192.168.1.9(3319) 
PAT Global 88.166.222.78(13381) Local 192.168.1.9(3318) 
PAT Global 88.166.222.78(13380) Local 192.168.1.9(3317) 
PAT Global 88.166.222.78(13387) Local 192.168.1.9(3324) 
PAT Global 88.166.222.78(13386) Local 192.168.1.9(3323) 
PAT Global 88.166.222.78(13385) Local 192.168.1.9(3322) 
PAT Global 88.166.222.78(13384) Local 192.168.1.9(3321) 
PAT Global 88.166.222.78(13391) Local 192.168.1.9(3328) 
PAT Global 88.166.222.78(13390) Local 192.168.1.9(3327) 
PAT Global 88.166.222.78(13389) Local 192.168.1.9(3326) 
PAT Global 88.166.222.78(13388) Local 192.168.1.9(3325) 
PAT Global 88.166.222.78(13395) Local 192.168.1.9(3332) 
PAT Global 88.166.222.78(13394) Local 192.168.1.9(3331) 
PAT Global 88.166.222.78(13393) Local 192.168.1.9(3330) 
PAT Global 88.166.222.78(13392) Local 192.168.1.9(3329) 
PAT Global 88.166.222.78(13399) Local 192.168.1.9(3336) 
PAT Global 88.166.222.78(13398) Local 192.168.1.9(3335) 
PAT Global 88.166.222.78(13397) Local 192.168.1.9(3334) 
PAT Global 88.166.222.78(13396) Local 192.168.1.9(3333) 
PAT Global 88.166.222.78(13403) Local 192.168.1.9(3340) 
PAT Global 88.166.222.78(13402) Local 192.168.1.9(3339) 
PAT Global 88.166.222.78(13401) Local 192.168.1.9(3338) 
PAT Global 88.166.222.78(13400) Local 192.168.1.9(3337) 
PAT Global 88.166.222.78(13407) Local 192.168.1.9(3344) 
PAT Global 88.166.222.78(13406) Local 192.168.1.9(3343) 
PAT Global 88.166.222.78(13405) Local 192.168.1.9(3342) 
PAT Global 88.166.222.78(13404) Local 192.168.1.9(3341) 
PAT Global 88.166.222.78(1756) Local 192.168.1.10(1048) 
PAT Global 88.166.222.78(12452) Local 192.168.1.9(1145) 
PAT Global 88.166.222.78(10755) Local 192.168.1.3(5061) 
PAT Global 88.166.222.78(10754) Local 192.168.1.3(5060) 
PAT Global 88.166.222.78(10756) Local 192.168.1.4(5060) 
PAT Global 88.166.222.78(13169) Local 192.168.1.9(3152) 
PAT Global 88.166.222.78(13239) Local 192.168.1.11(4296) 
PAT Global 88.166.222.78(13240) Local 192.168.1.11(4297) 
PAT Global 88.166.222.78(13247) Local 192.168.1.11(4304) 
PAT Global 88.166.222.78(13245) Local 192.168.1.11(4302) 
PAT Global 88.166.222.78(13244) Local 192.168.1.11(4301) 
PAT Global 88.166.222.78(13298) Local 192.168.1.9(3235) 
PAT Global 88.166.222.78(13301) Local 192.168.1.9(3238) 
PAT Global 88.166.222.78(13250) Local 192.168.1.11(4307) 
PAT Global 88.166.222.78(13249) Local 192.168.1.11(4306) 
PAT Global 88.166.222.78(13248) Local 192.168.1.11(4305) 
PAT Global 88.166.222.78(13255) Local 192.168.1.11(4312) 
PAT Global 88.166.222.78(13252) Local 192.168.1.11(4309) 
PAT Global 88.166.222.78(13258) Local 192.168.1.9(3199) 
PAT Global 88.166.222.78(13262) Local 192.168.1.9(3200) 
PAT Global 88.166.222.78(13260) Local 192.168.1.11(4316) 
PAT Global 88.166.222.78(13265) Local 192.168.1.9(3201) 
PAT Global 88.166.222.78(13274) Local 192.168.1.9(3211) 

Result of firewall command: "sh arp"
 
	outside 88.166.222.254 0007.cb48.ffdf 
	inside 192.168.1.11 0019.d142.ac12 
	inside 192.168.1.18 0013.72ce.efd4 
	inside 192.168.1.10 0019.2129.b26c 
	inside 192.168.1.8 000e.0ca1.fb07 
	inside 192.168.1.3 0018.f802.55fa 
	inside 192.168.1.15 0013.72ce.8363 
	inside 192.168.1.13 0040.f46c.f347 
	inside 192.168.1.14 0050.ba05.d36c 
	inside 192.168.1.9 0013.72ce.78db 
	inside 192.168.1.19 0013.8f81.cd42 
	inside 192.168.1.7 0014.222c.89e2 
	inside 192.168.1.6 0080.778e.1cb1 
	inside 192.168.1.4 0001.e38f.5900 
	inside 192.168.1.5 0800.3732.bae5 

Result of firewall command: "sh log"
 
Syslog logging: disabled
    Facility: 20
    Timestamp logging: disabled
    Standby logging: disabled
    Console logging: disabled
    Monitor logging: disabled
    Buffer logging: level notifications, 0 messages logged
    Trap logging: disabled
    History logging: disabled
    Device ID: disabled

ianvs · Answer

Bonjour,

Dans les translations on ne voit pas la translation "FTP", ce qui n'est pas normal.
Peux-tu me préciser de où à où tu essaye la connexion FTP ?

Pour le log, je n'ai plus la commande exacte en tête, mais en gros il faut activer l'historique de logs (en faisant logg <ENTER> le PIX te donnera la syntaxe.

msmadja · Answer

Bonjour, 

En fait je tape ftp://88.166.222.78 sous Explorer depuis un autre poste du réseau. (si je tape ftp://192.168.1.19 j'accede au serveur ftp sans probleme). Désolé c'est peut-etre une erreur basique mais je ne m'y connais pas trop....

ianvs · Answer

Pour tester la translation, il faudrait tester depuis une machine "extérieur" à ton réseau.
Par exemple depuis mon PC ...
Quand je fais le test ça semble marcher (j'ai une demande de login).

Si tu fais un sh xlate tu verras peut-être la translation pour le serveur.

msmadja · Answer

OK merci ! je ne comprend pas trop pourquoi ça ne marche pas de l'interieur mais tant pis.
en definitive que faut-il donc que j'ajoute pour ouvrir un port et le rediriger sur une machine interne (admettons port 5900 pour UltraVNC) ?

ianvs · Answer

Tu ne peux pas interroger une machine locale avec une adresse "NATée" à travers un PIX (c'est une anomalie pour lui).
Pour tester complètement, je te propose de m'envoyer (en message privé) un compte que tu fermeras ensuite.

Maintenant, si tu veux ouvrir d'autres ports, tu entres des commandes static avec les ports.
Exemple pour ajouter un service Web ET un VNC sur le port TCP/5900 :
static (inside,outside) tcp interface 80 192.168.1.19 80
static (inside,outside) tcp interface 5900 192.168.1.19 5900

Et ainsi de suite pour tout service complémentaire éventuel.

msmadja · Answer

ok merci bcp
pour le test tu peux te connecter en login paul (passwd idem)

ianvs · Answer

Ca fonctionne impec, tu peux donc détruire ce compte (ou au moins changer le password).

msmadja · Answer

Merci ! super ! j'ai vu ton accès 20h15 ,nickel, merci encore

msmadja · Answer

Bonjour, 

Pour faire fonctionner Ultra VNC (port 5900), j'ai entré
static (inside,outside) tcp interface 5900 192.168.1.19 5900
static (inside,outside) udp interface 5900 192.168.1.19 5900

Pourtant cela ne fonctionne toujours pas  (le ftp par contre fonctionne ok)
Une idée ?...

ianvs · Answer

Bonjour,

C'est étrange ...
 - as-tu gait un show xlate pour voir si tu avais une translation activée dans le Firewall ?
 - as-tu activé une access-list pour autorisé le message à passer ?

PS : de mémoire VNC fonctionne en TCP, donc la translation "UDP" ne devrait pas servir.

J'ai retrouvé la commande pour avoir des log :
"logg histo 5"
Là si tu fais un show log tu devrais avoir des messages.

msmadja · Answer

Bonjour, 

Le sh xlate donne:
38 in use, 672 most used
PAT Global 88.166.222.78(1277) Local 192.168.1.12(1054) 
PAT Global 88.166.222.78(1706) Local 192.168.1.10(1115) 
PAT Global 88.166.222.78(2140) Local 192.168.1.12(1420) 
PAT Global 88.166.222.78(2466) Local 192.168.1.12(1507) 
PAT Global 88.166.222.78(2472) Local 192.168.1.12(1513) 
PAT Global 88.166.222.78(10755) Local 192.168.1.3(5061) 
PAT Global 88.166.222.78(10754) Local 192.168.1.3(5060) 
PAT Global 88.166.222.78(10756) Local 192.168.1.4(5060) 
PAT Global 88.166.222.78(2661) Local 192.168.1.12(1618) 
PAT Global 88.166.222.78(2665) Local 192.168.1.9(1565) 
PAT Global 88.166.222.78(599) Local 192.168.1.16(771) 
PAT Global 88.166.222.78(598) Local 192.168.1.16(772) 
PAT Global 88.166.222.78(597) Local 192.168.1.16(773) 
PAT Global 88.166.222.78(596) Local 192.168.1.16(774) 
PAT Global 88.166.222.78(603) Local 192.168.1.16(767) 
PAT Global 88.166.222.78(602) Local 192.168.1.16(768) 
PAT Global 88.166.222.78(601) Local 192.168.1.16(769) 
PAT Global 88.166.222.78(600) Local 192.168.1.16(770) 
PAT Global 88.166.222.78(606) Local 192.168.1.16(764) 
PAT Global 88.166.222.78(605) Local 192.168.1.16(765) 
PAT Global 88.166.222.78(604) Local 192.168.1.16(766) 
PAT Global 88.166.222.78(2849) Local 192.168.1.16(1361) 
PAT Global 88.166.222.78(2855) Local 192.168.1.16(1367) 
PAT Global 88.166.222.78(2854) Local 192.168.1.16(1366) 
PAT Global 88.166.222.78(2853) Local 192.168.1.16(1365) 
PAT Global 88.166.222.78(2852) Local 192.168.1.16(1364) 
PAT Global 88.166.222.78(2859) Local 192.168.1.16(1371) 
PAT Global 88.166.222.78(2857) Local 192.168.1.16(1369) 
PAT Global 88.166.222.78(2867) Local 192.168.1.16(1377) 
PAT Global 88.166.222.78(2866) Local 192.168.1.16(1376) 
PAT Global 88.166.222.78(2865) Local 192.168.1.16(1375) 
PAT Global 88.166.222.78(2870) Local 192.168.1.16(1380) 
PAT Global 88.166.222.78(2869) Local 192.168.1.16(1379) 
PAT Global 88.166.222.78(2868) Local 192.168.1.16(1378) 
PAT Global 88.166.222.78(2843) Local 192.168.1.12(1620) 
PAT Global 88.166.222.78(2842) Local 192.168.1.12(1619) 
PAT Global 88.166.222.78(2844) Local 192.168.1.9(1716) 
PAT Global 88.166.222.78(17302) Local 192.168.1.16(1223) 

Effectivement le access list ne portait que sur ftp (pas sur le port 5900), donc je reessaye.... MERCI

PS: y a-t-il possibilité de "bloquer" le service MSN sur certains postes (par une commande dans le PIX) ?
Désolé... je n'en finis pas avec mes questions....

ianvs · Answer

Bonjour,

Pas de problème, si je peux répondre ...
Pour bloquer MSN sur les postes via le PIX il faut savoir sur quel(s) port(s) fonctionne ce programme de m***** et là malheureusement je n'en ai pas la moindre idée, l'ayant "tué" sur les PCs chez moi.
Une solution un peu "brutale" consiste à lister ce qui peut "sortir" et de fait tout le reste sera bloqué en faisant une access-list assez simple: 
access-list acl_insinde_in permit tcp any any eq 80  ! flux web http
access-list acl_insinde_in permit tcp any any eq 443  ! flux web https
access-list acl_insinde_in permit tcp any any eq 21  ! flux ftp sortant (toujours pratique)
access-group acl_insinde_in in interface inside

Note que tout ce qui n'est pas explicitement autorisé sera alors interdit.

S'il manque des trucs, tu pourras alors les ajouter un par un ...

msmadja · Answer

Bonjour, 

Merci bcp... VNC marche !
Pour MSN pas bon à priori car il semblerait qu'il utilise un flux web maintenant (sur option)... de ce que j'ai lu il faut mettre en place un proxy de maniere à bloquer tous les serveurs utilisés par MSN... mais je ne pense pas qu'il y en ait un dans le PIX (?)... si tu as d'autres idées...

ianvs · Answer

En effet le PIX (surtout le 501) ne fait pas proxy.
Si tu connais les adresses IP des serveurs MSN tu peux les "interdire" avec les access-lists ... à condition qu'ils ne servent pas aussi à autre chose ...
Attention, si tu mets une access-list sur l'interface "inside", quelle qu'elle soit, tout ce qui n'est pas autorisé sera interdit.

msmadja · Answer

Comment on interdit une adresse IP (par ex. 10.10.1.1) sur un poste interne (mon ip free est 88.166.222.78)?
C'est:
access-list XXX deny tcp 10.10.1.1 host 88.166.222.78 eq www
access-group XXX in interface outside

Mais là j'imagine que l'ip 10.10.1.1 sera bloquée pour tout le monde (?)

ianvs · Answer

Je ne comprends pas bien la question, mais voici quelques règles de base sur un PIX (ces règles sont vraies pour les PIX v6 et plus - en dessous je ne sais pas - mais à partir de la v7 on peut les contourner) :

 * Les machines derrière un PIX (sur le réseau INTERNE) ne seront JAMAIS destination de connexion s'il n'y a pas de translation statique
 * Les machines derrière un PIX ne peuvent accéder à l'extérieur que s'il existe une translation (statique ou dynamique)
 * Seul le "premier" paquet d'une "session" (TCP ou UDP) est filtré, les autres suivent le même canal sans passer pas les ACL
 * Par défaut (donc sans access-list) les messages "sortants" sont autorisés et les messages "entrants" sont interdits
 * si une access-list est définie sur une interface (internet ou externe) alors tout ce qui n'a pas été autorisé pas l'access-list sera automatiquement interdit.

Maintenant, peux-tu préciser ce que tu cherches à interdit ?
Ton exemple interdit à une machine 10.10.1.1 d'accéder en http à l'adresse IP de ton PIX depuis INTERNET, ce qui ne peut pas arriver car l'interface outside ne recevra jamais de message en provenance de 10.10.1.1 (qui est une adresse privée).

msmadja · Answer

Merci pour ces précisions.
Je voulais interdire l'accès (en http) à un site dont l'adresse est 10.10.1.1. Désolé peut-etre mauvais exemple avec 10.10.1.1...
Donc par exemple si wanadoo.fr est en adresse 193.252.122.103 et que je veux interdire à une machine (interne) d'adresse 192.168.1.5 d'y acceder, que dois-je entrer ? et si ce n'est pas possible, puis-je interdire wanadoo.fr à toutes les machines internes?

msmadja · Answer

Merci pour ces précisions.
Je voulais interdire l'accès (en http) à un site dont l'adresse est 10.10.1.1. Désolé peut-etre mauvais exemple avec 10.10.1.1...
Donc par exemple si wanadoo.fr est en adresse 193.252.122.103 et que je veux interdire à une machine (interne) d'adresse 192.168.1.5 d'y acceder, que dois-je entrer ? et si ce n'est pas possible, puis-je interdire wanadoo.fr à toutes les machines internes?

ianvs · Answer

Pour interdire l'accès à une adresse IP (en http) depuis une machine (et une seule), mais autoriser tout le reste il faut entrer les commandes suivantes :
access-list acl_inside_in deny tcp host ADRESSE_PC host SERVEUR_WEB eq 80
access-list acl_inside_in permit ip any any
access-group acl_inside_in in interface inside

Attention : si le PC est en DHCP il est difficile de garantir qu'il aura toujours la même adresse IP et donc le filtre pourrait ne plus fonctionner.
Si tu ne mets pas la seconde règle, alors plus rien ne passera donc il faut ajouter le permit pour les autres machines.

msmadja · Answer

Merci, nickel. Merci egalement pour la remarque DHCP, effectivement c'est un probleme et je crois  qu'on ne peut pas faire en sorte qu'une machine X ait toujours la meme adresse.

Si je mets any a la place de ADRESSE_PC tous les postes internes ne pourront accéder au SERVEUR_WEB c'est ça ?
Et si je mets après SERVEUR_WEB (si par ex. SERVEUR_WEB = 193.252.122.103) "netmask 255.255.255.0" j'interdis l'accès à tous les serveurs web d'adresser 193.252.122.xxx, c'est ça?
Derniere chose: mes commandes "static" sautent régulierement (elles disparaissent tout simplement), sais-tu quelle en est la raison?
Merci

ianvs · Answer

Bonjout,

Tes deux déductions sont exactes, mais en plus je crois que mettre 192.252.122.103 255.255.255.0 déclenche une erreur (ce qui serait normal).
les statics disparaissent de la config ou les translations ne sont plus visibles dans le show xlate ?
Dans le premier cas c'est anormal (je suppose que tu fais bien un writre memory quand tes modifs fonctionnent)
Dans le second cas c'est normal, les translations ont une durée de vie, mais elles sont réactivées quand elles sont à nouveau nécessaires.

msmadja · Answer

Merci... oui effectivement cela declenche une erreur. N'y a-t-il pas moyen de le faire (blocage d'une plage d'adresses) ou faut-il entrer les adresses 1 par 1?

Pour la perte des commandes static, je confirme que qd je fais un sh static, rien n'apparait plus alors que le write memory avat bien été entré... je ne comprend pas je suis obligé de réentrer les commandes static régulierement... peut-etre certaines commandes annulent tous les static en cours (?)

ianvs · Answer

Normalement, rien n'annule un static à part le 'no static' correspondant (peut etre un bug ?)
Si tu fais un show conf ou un write term les statics sont-ils dans la config ?

Il est toujours possible d'interdis une plage d'adresses ou un groupe :
  - pour une plage :
[...] deny ip 10.10.1.5 255.255.255.254 any => les machines 5 et 6 sont interdites pour tout
  - pour un groupe :
object-group network NOM_DE_GROUPE
  network-obkect 10.10.1.2 255.255.255.255
  network-obkect 10.10.1.8 255.255.255.255
  exit
[...] deny ip object-group NOM_DE_GROUPE any

Note que ces commandes sont données de mémoire donc la syntaxe est approximative.

Port forwarding sur PIX501

34 réponses

Votre réponse

Discussions similaires

Newsletters