Configuration avancée Firewall Cisco PIX 501

Marc -  
 sb1403 -
Bonjour,

J'ai mis en place un firewall Cisco Pix 501 entre un serveur SBS et une LiveboxPro. La configuration Nat est Ok. La configuration de base n'aura pas été trop compliquée à l'aide de bons tutoriaux. Par contre j'aimerais connaître les fonctions qui me permettraient de configurer le serveur Exchange du SBS (SMTP et POP) ainsi que la configuration pour une DB ouverte vers l'exterieur sur le firewall ? Pour la configuration avancée les tutoriaux sont beaucoup moins nombreux.
Il me semble que les fonctions sont :
object-group
access-list
access-group
Mais je ne sais quelle est la syntaxe. Il y a quelques exemples de config sur le net mais non expliqués.
Merci de votre aide.

Marc

18 réponses

  1. ianvs Messages postés 539 Date d'inscription   Statut Membre Dernière intervention   209
     
    Bonjour,

    La syntaxe des translations est légèrement érronnée, de plus on ne peut faire un NAT "static" avec l'adresse du PIX sans préciser les ports (et donc faire du PAT) et en donnant l'IP, voici la bonne syntaxe pour ce que tu cherches :
    #static (inside,outside) tcp interface smtp 192.168.1.2 smtp [ netmask 255.255.255.0 ] ! smtp = 25
    #static (inside,outside) tcp interface pop3 192.168.1.2 pop3 [ netmask 255.255.255.0 ] ! pop3 = 110
    #static (inside,outside) tcp interface https 192.168.1.2 https [ netmask 255.255.255.0 ] ! https = 443
    #static (inside,outside) tcp interface 12584 192.168.1.3 12584 [ netmask 255.255.255.0 ]

    Je suis surpris de l'adresse du client (une adresse privée ne peut circuler sur Internet), mais si c'est pour l'exemple et éviter de donner la vraie adresse publique tu as bien fait.
    Reprenons donc ...

    regrouper les services ... pourquoi pas ... en tout cas ça semble correcte sauf que tu mets deux fois SMTP

    Pour l'access-list, tu dois indiquer l'adresse translatée de la machine cible et tu n'as pas préciser le port pour la connexion Base de donnée, je propose ceci :
    #access-list external permit tcp any host 192.168.1.2 object-group webservices
    #access-list external permit tcp host Y.Y.Y.Y host 192.168.1.3 eq 12584 ! port à vérifier
    => la dernière ligne (deny ip any any) est inutile cas ajoutée de façon implicite par le PIX

    Tu mets un access-group "inside", attention à ne le faire que si une access-list est définie.

    Voilà ... j'espère avoir été clair et avoir bien compris ton besoin.
    4
  2. ianvs Messages postés 539 Date d'inscription   Statut Membre Dernière intervention   209
     
    Bonjour,

    Comme souvent dans les configs Cisco : "no <commande à supprimer>".
    2
  3. ianvs Messages postés 539 Date d'inscription   Statut Membre Dernière intervention   209
     
    Bonjour,

    Avant il te faudra quelques informations :
    -> ports à rendre visibles sur Internet (25 = SMTP, 110 pour POP et un pour ta DB)

    Ensuite les commandes, ça dépend du nombre d'adresses IP publiques disponibles et du mode de fonctionnement de la Box Pro (modem ou routeur).

    Dans l'ordre il faudra :
    - une ou trois translation(s) statique(s)
    - créer les access-list
    - appliquer l'access-list sur l'interface externe

    Voilà ...
    1
  4. Marc
     
    Bonjour,

    Merci ianvs pour ta réponse. Les ports à rendre accessible mais masqués depuis internet sont effectivement les 25,110,443 pour Exchange, et 12584 ou quelque chose comme ca pour la base de donnee qui n'est accessible que depuis une seule adresse IP (Y.Y.Y.Y). La liveBox Pro route tous ces ports vers le Cisco ; maintenant je souhaiterais qu'ils soient redirigés vers le serveur.

    Par exemple :
    L'IP publique est x.x.x.x
    L'IP de la LiveBox est : 192.168.0.1
    L'IP Outside du PIX est 192.168.0.2
    L'IP Inside du PIX est 192.168.1.1
    L'IP du serveur exchange est 192.168.1.2
    L'IP de la Base de données est 192.168.1.3
    L'IP d'un poste client connecte au serveur SBS (Exchange) : 192.168.16.10

    Est-ce-que la configuration suivante te semble correcte ?

    --Translations statiques :

    #static (outside) 192.168.0.2 192.168.1.2 netmask 255.255.255.0
    #static (outside) 192.168.0.2 192.168.1.3 netmask 255.255.255.0

    --Création Access List

    #port-object service webservices tcp
    #port-object eq smtp
    #port-object eq pop
    #port-object eq https
    #port-object eq smtp

    #access-list external permit tcp any host 192.168.1.2 object-group webservices
    #access-list external permit tcp any host 192.168.1.3 (Ici je ne sais comment indiquer que seule l'ip Y.Y.Y.Y (Qui se trouve sur le Web) pourra accéder au serveur de base de données)
    #access-list external deny ip any any

    --Application des Access List sur interface

    #access group external in interface outside
    #access group internal in interface inside

    Merci beaucoup de ton aide !

    Marc
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ianvs Messages postés 539 Date d'inscription   Statut Membre Dernière intervention   209
     
    Bonjour,

    Voici la gamme PIX dans l'ordre de leur puissance : 501, 506E, 515E, 525 et 535.
    Une nouvelle gamme est sortie pour remplacer les PIX, les ASA : ASA5510, ASA5520 et ASA5540 dans un premier temps puis un petit (ASA5505) et deux gros : ASA5550 et ASA5580.

    Est-ce que ça répond à ta question ?
    1
  7. ianvs Messages postés 539 Date d'inscription   Statut Membre Dernière intervention   209
     
    Désolé, je n'ai pas de doc ... je fais sans en fait.

    Par contre ... je te propose ce lien :
    https://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/5500/5500_quick_start.html

    Qui te guidera pour la config des PIX et ASA en version 7.0. (les version 7.1 ou 7.2 sont très proches)

    Ciao
    1
    1. THIERRY
       
      Bonjour,

      question bête.
      Une fois qu'on a créé une configuration nat du genre
      match tcp inside host LEMAN eq 443 outside any
      static translation to Pub_IP_Marignier/443

      quelle est la commande pour la supprimer ?
      0
  8. Marc
     
    Bonjour ianvs,
    Un immense Merci pour ton aide et pour m'avoir répondu si promptement ! C'est trés sympa de ta part. Je vais maintenant mettre en application tes conseils.
    Je te souhaite une excellente journée et à bientôt peut-être !
    Marc
    0
  9. igor
     
    je veux savoir quel pix cisco vous me conseillerez en amélioration du pix 501
    0
  10. igor
     
    Bonjour ianvs,

    je te remercie des infos sur les ASA! bonne continuité!!!
    tu pourrais avoir des docs sur les config de la gamme de 500 ou asa
    Merci encore
    0
  11. Clément
     
    bonjour, j'ai configuré des régles NAT sur mon CISCO PIX501. Voici la configuration :

    access-list inbound permit tcp any any eq 80
    access-group inbound in interface outside
    static (inside,outside) tcp interface 80 192.168.1.1 80 netmask 255.255.255.255


    Une fois la commande effectuée, le serveur WEB est accessible depuis internet. Lorsque le routeur redémarre, mes règles NAT n'existe plus, je suis obligé de les créées à nouveau.
    Comment cela fait il ? Comment les rendre permanentes ?
    0
  12. sb1403
     
    Bonjour
    j'ai le même problème mais avec un asa 5005:

    avant d'installer le ASA j'avais le schéma suivant:
    -(@PUBLIQUE)--LIVEBOX -(@192.168.2.249)---|-LAN-- serveur_ssh (@192.168.2.201)

    j'avais possibilité d'accéder au serveur_ssh (avec 192.168.201 et un numéro de port que j'ai configurer 22222),car la livebox se charge de rediriger tout trafic de port 22222 vers le poste 192.168.2.201).

    maintenant apvec l'intégration du ASA (voir schéma ci-dessous), j'arrive plus à accéder de l'extérieur au serveur_ssh!!!!
    -(@PUBLIC)- LIVEBOX -(@10.1.1.1)-- - --(@10.1.1.2) -ASA5005-(@192.168.2.249)---|- LAN-- serveur_ssh (@192.168.2.201)

    j'ai besoin de votre aide SVPPPPPPP
    0
  13. ianvs Messages postés 539 Date d'inscription   Statut Membre Dernière intervention   209
     
    Bonjour,

    Pour l'ASA, il faut :
    - activer un nat static (sinon pas de transmission possible d'une interface "peu" sécurisée vers une interface "plus" sécurisée.
    - ajouter l'access-list qui autorise le message avec le bon protocole

    Pour rendre les modifications permanantes il faut enregistrer la config ("wr mem" ou "copy run start") sinon au reboot la machine reprend la config avant modif.
    0
  14. sb1403
     
    Merci d'abord pour la réponse.

    j'ai deja fait ce que vous avez demandé, et j'ai fait aussi la redirection des ports pour la Livebox:
    tout trafic de port 22222 le rediriger vers l'interface outside du ASA (10.1.1.2)
    j'arrive a me connecté de l'interieur vers l'exterieur mais pas le contraire.
    je vous envoie la config du ASA:
    ASA Version 7.2(4)
    !
    hostname aaa
    …..
    interface Vlan1
    nameif inside
    security-level 0
    ip address 192.168.2.249 255.255.255.0
    !
    interface Vlan2
    nameif outside
    security-level 0
    ip address 10.1.1.2 255.255.255.0
    !
    interface Ethernet0/0
    interface Ethernet0/1
    !
    interface Ethernet0/2
    !
    interface Ethernet0/3
    !
    interface Ethernet0/4
    switchport access vlan 2
    !
    interface Ethernet0/5
    !
    interface Ethernet0/6
    !
    interface Ethernet0/7
    !
    no ftp mode passive
    dns server-group DefaultDNS
    domain-name default.domain.invalid
    same-security-traffic permit inter-interface
    same-security-traffic permit intra-interface
    !
    access-list inside_access_in extended permit icmp any any echo
    access-list inside_access_in extended permit icmp any any echo-reply
    access-list inside_access_in extended permit icmp any any unreachable
    access-list inside_access_in extended permit icmp any any time-exceeded
    access-list inside_access_in extended permit icmp any any
    access-list inside_access_in extended permit tcp any any eq 11111
    access-list inside_access_in extended permit ip any any
    access-list outside_access_in extended permit icmp any any echo
    access-list outside_access_in extended permit icmp any any echo-reply
    access-list outside_access_in extended permit icmp any any unreachable
    access-list outside_access_in extended permit icmp any any time-exceeded
    access-list outside_access_in extended permit icmp any any
    access-list outside_access_in extended permit tcp any any eq 11111
    access-list outside_access_in extended permit ip any any
    pager lines 23
    logging enable
    logging buffered errors
    mtu inside 1500
    mtu outside 1500
    icmp unreachable rate-limit 1 burst-size 1
    asdm image disk0:/asdm-524.bin
    asdm history enable
    arp timeout 14400
    global (outside) 1 10.1.1.15-10.1.1.253
    nat (inside) 1 192.168.2.0 255.255.255.0
    static (inside,outside) tcp interface 11111 192.168.2.4 11111 netmask 255.255.255.255
    static (outside,inside) tcp interface 11111 192.168.2.4 11111 netmask 255.255.255.255
    access-group inside_access_in in interface inside
    access-group inside_access_in out interface inside
    access-group outside_access_in in interface outside
    access-group outside_access_in out interface outside
    route outside 0.0.0.0 0.0.0.0 10.1.1.1 1
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    telnet 192.168.2.4 255.255.255.255 inside
    telnet timeout 5
    ssh 0.0.0.0 0.0.0.0 inside
    ssh 192.168.2.4 255.255.255.255 inside
    ssh 0.0.0.0 0.0.0.0 outside
    ssh 192.168.2.4 255.255.255.255 outside
    ssh timeout 5
    console timeout 0
    !
    !
    : end
    0
  15. ianvs Messages postés 539 Date d'inscription   Statut Membre Dernière intervention   209
     
    Ca ressemble à du PIX (version 6 maxi) :))

    Question :
    Les port 11111 eu lieu de 22222 c'est une faute de frappe ?

    Erreurs possibles : NAT dans les deux sens ? il faut éviter ce n'est pas cohérent

    Proposition de config :

    hostname aaa
    …..
    interface Vlan1
    nameif inside
    security-level 0
    ip address 192.168.2.249 255.255.255.0
    !
    interface Vlan2
    nameif outside
    security-level 0
    ip address 10.1.1.2 255.255.255.0
    !
    interface Ethernet0/0
    interface Ethernet0/1
    !
    interface Ethernet0/2
    !
    interface Ethernet0/3
    !
    interface Ethernet0/4
    switchport access vlan 2
    !
    interface Ethernet0/5
    !
    interface Ethernet0/6
    !
    interface Ethernet0/7
    !
    no ftp mode passive
    dns server-group DefaultDNS
    domain-name default.domain.invalid
    same-security-traffic permit inter-interface
    same-security-traffic permit intra-interface
    !
    access-list outside_access_in extended permit icmp any any echo
    access-list outside_access_in extended permit icmp any any echo-reply
    access-list outside_access_in extended permit icmp any any unreachable
    access-list outside_access_in extended permit icmp any any time-exceeded
    access-list outside_access_in extended permit icmp any any
    access-list outside_access_in extended permit tcp any any eq 11111
    access-list outside_access_in extended permit ip any any
    pager lines 23
    logging enable
    logging buffered errors
    mtu inside 1500
    mtu outside 1500
    icmp unreachable rate-limit 1 burst-size 1
    asdm image disk0:/asdm-524.bin
    asdm history enable
    arp timeout 14400
    global (outside) 1 10.1.1.15-10.1.1.253
    nat (inside) 1 192.168.2.0 255.255.255.0
    static (inside,outside) tcp interface 11111 192.168.2.4 11111
    access-group outside_access_in in interface outside

    route outside 0.0.0.0 0.0.0.0 10.1.1.1 1
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    telnet 192.168.2.4 255.255.255.255 inside
    telnet timeout 5
    ssh 0.0.0.0 0.0.0.0 inside
    ssh 192.168.2.4 255.255.255.255 inside
    ssh 0.0.0.0 0.0.0.0 outside
    ssh 192.168.2.4 255.255.255.255 outside
    ssh timeout 5
    console timeout 0
    0
    1. sb1403
       
      bonjour
      je vous remercie pour la réponse.
      j'ai fait ce que vous avez demandé et ça marche tjrs pas.
      je vais vous expliquer ma configuration plus en détail
      en faite ma config est la suivante:
      (WAN)-- livebox ---- ASA5005 ---- (LAN:192.x.x.0) -- serveur(192.x.x.201)
      Avec par exemple les adresses suivantes:
      -Livebox: 10.x.x.1
      -ASA: 10.x.x.2 (interface outside)
      192.x.x.249 (interface Inside)
      -serveur interne: 192.x.x.201 port 3333 naté en 10.x.x.3

      J'ai configuré la livebox pour qu'elle dérige tout le trafic vers l'interface outside du ASA (c-à-d:10.x.x.2)

      Dans la config du ASA:
      j'ai mis en place la config suivante (j'ai tout autorisé sur toutes les interfaces pour s'assurer que ce n'est pas problème d'ACL). voici la config:
      interface Vlan1
      nameif inside
      security-level 0
      ip address 192.x.x.249 255.255.255.0
      !
      interface Vlan2
      nameif outside
      security-level 0
      ip address 10.x.x.2 255.255.255.0

      global (outside) 1 10.x.x.15-10.x.x.253
      nat (inside) 1 192.x.x.0 255.255.255.0 //(192.x.x.0 réseau LAN)
      static (inside,outside) 10.x.x.3 192.x.x.201 netmask 255.255.255.255

      access-list inside_access_in extended permit tcp any any eq 3333
      access-list inside_access_in extended permit tcp any any eq 3333
      access-list inside_access_in extended permit ip any any

      access-group inside_access_in in interface inside
      access-group inside_access_in out interface inside
      access-group inside_access_in in interface outside
      access-group inside_access_in out interface outside

      Je suis bloqué depuis un bon moment SVP aidez moi.
      merci d'avance
      0
  16. ianvs Messages postés 539 Date d'inscription   Statut Membre Dernière intervention   209
     
    Dans les éléments qui me chaginnent :
    1) les security level :
    interface Vlan1
    nameif inside
    security-level 0 => ok c'est dehors on fait pas confiance
    ip address 192.x.x.249 255.255.255.0
    !
    interface Vlan2
    nameif outside
    security-level 0 => non, c'est dedans, on connait, on fait confiance -> mettre security-level 100
    ip address 10.x.x.2 255.255.255.0

    Ne laisser que l'access-group qui va bien (au passage son nom n'est pas logique, mais c'est pas grave) :
    access-group inside_access_in in interface outside

    Enfin, si la box redirige le traffic vers l'ASA (son adresse IP) alors le NAT n'est pas bon, voici ce qui devrait marcher :
    static (inside,outside) tcp interface <PORT> 192.x.x.201 <PORT>

    Si tu veux garder ton NAT Static alors il faut rediriger les flux désirés vers l'adresse 10.x.x.3 dans la BOX.
    0
  17. sb1403
     
    J'ai changer le NAT comme ce que vous m'avez dit mais j'ai toujours le même problème.
    Par contre j'ai laissé Level 0 pour vlan2 (outside) parce que quand j'ai mit 100 j'ai perdu totalement la connectivité.

    comment faire SVP?
    0
  18. ianvs Messages postés 539 Date d'inscription   Statut Membre Dernière intervention   209
     
    Garder 2 interfaces avec le même niveau de sécurité (surtout les 2 à 0) n'est pas bon et surtout pas cohérent.

    Mais soit.

    Quels sont les messages de log avec cette config ? (ça nous aidera à avancer)
    0
  19. sb1403
     
    Merci beaucouuuuuuuup. c'est bon ça marche j'arrive à accéder de l'exterieur a mon serveur interne mais avec des ACLs qui autorise tous.
    j'ai besoin d'interdire tout trafic externe vers le port 22222 sauf vers 192.x.x.249 (cad le serveur)

    j'ai changé les ACLs, voila ce que j'ai fait
    access-list outside_access_in extended permit icmp any any echo
    access-list outside_access_in extended permit icmp any any echo-reply
    access-list outside_access_in extended permit icmp any any unreachable
    access-list outside_access_in extended permit icmp any any time-exceeded
    access-list outside_access_in extended permit tcp any host 192.168.2.201 eq 22222
    access-list outside_access_in extended deny tcp any any eq 22222
    access-list outside_access_in extended permit ip any any
    access-group outside_access_in in interface outside

    qd j'enlève cette ACL (access-list outside_access_in extended deny tcp any any eq 22222) ça marche sinon ça marche pas, je perd la connectivité de l'extérieur vers mon serveur.

    Pourriez vous m'aider svp?
    0