Configuration avancée Firewall Cisco PIX 501Fermé

Question

Bonjour, 

J'ai mis en place un firewall Cisco Pix 501 entre un serveur SBS et une LiveboxPro. La configuration Nat est Ok. La configuration de base n'aura pas été trop compliquée à l'aide de bons tutoriaux. Par contre j'aimerais connaître les fonctions qui me permettraient de configurer le serveur Exchange du SBS (SMTP et POP) ainsi que la configuration pour une DB ouverte vers l'exterieur sur le firewall ? Pour la configuration avancée les tutoriaux sont beaucoup moins nombreux.
Il me semble que les fonctions sont :
object-group
access-list
access-group
Mais je ne sais quelle est la syntaxe. Il y a quelques exemples de config sur le net mais non expliqués.
Merci de votre aide.

Marc

ianvs · Accepted Answer

Bonjour,

La syntaxe des translations est légèrement érronnée, de plus on ne peut faire un NAT "static" avec l'adresse du PIX sans préciser les ports (et donc faire du PAT) et en donnant l'IP, voici la bonne syntaxe pour ce que tu cherches :
#static (inside,outside) tcp interface smtp 192.168.1.2 smtp [ netmask 255.255.255.0 ] ! smtp = 25
#static (inside,outside) tcp interface pop3 192.168.1.2 pop3 [ netmask 255.255.255.0 ] ! pop3 = 110
#static (inside,outside) tcp interface https 192.168.1.2 https [ netmask 255.255.255.0 ] ! https = 443
#static (inside,outside) tcp interface 12584 192.168.1.3 12584 [ netmask 255.255.255.0 ]


Je suis surpris de l'adresse du client (une adresse privée ne peut circuler sur Internet), mais si c'est pour l'exemple et éviter de donner la vraie adresse publique tu as bien fait.
Reprenons donc ...

regrouper les services ... pourquoi pas ... en tout cas ça semble correcte sauf que tu mets deux fois SMTP

Pour l'access-list, tu dois indiquer l'adresse translatée de la machine cible et tu n'as pas préciser le port pour la connexion Base de donnée, je propose ceci :
#access-list external permit tcp any host 192.168.1.2 object-group webservices
#access-list external permit tcp host Y.Y.Y.Y host 192.168.1.3 eq 12584 ! port à vérifier
=> la dernière ligne (deny ip any any) est inutile cas ajoutée de façon implicite par le PIX

Tu mets un access-group "inside", attention à ne le faire que si une access-list est définie.

Voilà ... j'espère avoir été clair et avoir bien compris ton besoin.

ianvs · Answer

Bonjour,

Avant il te faudra quelques informations :
  -> ports à rendre visibles sur Internet (25 = SMTP, 110 pour POP et un pour ta DB)

Ensuite les commandes, ça dépend du nombre d'adresses IP publiques disponibles et du mode de fonctionnement de la Box Pro (modem ou routeur).

Dans l'ordre il faudra :
  - une ou trois translation(s) statique(s)
  - créer les access-list
  - appliquer l'access-list sur l'interface externe

Voilà ...

Marc · Answer

Bonjour,

Merci ianvs pour ta réponse. Les ports à rendre accessible mais masqués depuis internet sont effectivement les 25,110,443 pour Exchange, et 12584 ou quelque chose comme ca pour la base de donnee qui n'est accessible que depuis une seule adresse IP (Y.Y.Y.Y). La liveBox Pro route tous ces ports vers le Cisco ; maintenant je souhaiterais qu'ils soient redirigés vers le serveur.

Par exemple :
L'IP publique est x.x.x.x
L'IP de la LiveBox est : 192.168.0.1
L'IP Outside du PIX est 192.168.0.2
L'IP Inside du PIX est 192.168.1.1
L'IP du serveur exchange est 192.168.1.2
L'IP de la Base de données est 192.168.1.3
L'IP d'un poste client connecte au serveur SBS (Exchange) : 192.168.16.10

Est-ce-que la configuration suivante te semble correcte ? 

--Translations statiques :

#static (outside) 192.168.0.2 192.168.1.2 netmask 255.255.255.0
#static (outside) 192.168.0.2 192.168.1.3 netmask 255.255.255.0

--Création Access List
 
#port-object service webservices tcp
#port-object eq smtp
#port-object eq pop
#port-object eq https
#port-object eq smtp

#access-list external permit tcp any host 192.168.1.2 object-group webservices
#access-list external permit tcp any host 192.168.1.3 (Ici je ne sais comment indiquer que seule l'ip Y.Y.Y.Y (Qui se trouve sur le Web) pourra accéder au serveur  de base de données)
#access-list external deny ip any any

--Application des Access List sur interface 

#access group external in interface outside
#access group internal in interface inside

Merci beaucoup de ton aide !

Marc

Marc · Answer

Bonjour ianvs,
Un immense Merci pour ton aide et pour m'avoir répondu si promptement ! C'est trés sympa de ta part. Je vais maintenant mettre en application tes conseils.
Je te souhaite une excellente journée et à bientôt peut-être !
Marc

igor · Answer

je veux savoir quel pix cisco vous me conseillerez en amélioration du pix 501

ianvs · Answer

Bonjour,

Voici la gamme PIX dans l'ordre de leur puissance : 501, 506E, 515E, 525 et 535.
Une nouvelle gamme est sortie pour remplacer les PIX, les ASA : ASA5510, ASA5520 et ASA5540 dans un premier temps puis un petit (ASA5505) et deux gros : ASA5550 et ASA5580.

Est-ce que ça répond à ta question ?

igor · Answer

Bonjour ianvs,

je te remercie des infos sur les ASA! bonne continuité!!!
tu pourrais avoir des docs sur les config de la gamme de 500 ou asa
Merci encore

ianvs · Answer

Désolé, je n'ai pas de doc ... je fais sans en fait.

Par contre ... je te propose ce lien :
https://www.cisco.com/c/en/us/td/docs/security/asa/quick_start/5500/5500_quick_start.html

Qui te guidera pour la config des PIX et ASA en version 7.0. (les version 7.1 ou 7.2 sont très proches)

Ciao

ianvs · Answer

Bonjour,

Comme souvent dans les configs Cisco : "no <commande à supprimer>".

Clément · Answer

bonjour, j'ai configuré des régles NAT sur mon CISCO PIX501. Voici la configuration :

access-list inbound permit tcp any any eq 80
access-group inbound in interface outside
static (inside,outside) tcp interface 80 192.168.1.1 80 netmask 255.255.255.255

Une fois la commande effectuée, le serveur WEB est accessible depuis internet. Lorsque le routeur redémarre, mes règles NAT n'existe plus, je suis obligé de les créées à nouveau.
Comment cela fait il ? Comment les rendre permanentes ?

sb1403 · Answer

Bonjour
j'ai le même problème mais avec un asa 5005:

avant d'installer le ASA j'avais le schéma suivant:
-(@PUBLIQUE)--LIVEBOX -(@192.168.2.249)---|-LAN-- serveur_ssh (@192.168.2.201)

j'avais possibilité d'accéder au serveur_ssh (avec 192.168.201 et un numéro de port que j'ai configurer 22222),car  la livebox se charge de rediriger tout trafic de port 22222 vers le poste 192.168.2.201).

maintenant apvec l'intégration du ASA (voir schéma ci-dessous), j'arrive plus à accéder de l'extérieur au serveur_ssh!!!!
-(@PUBLIC)- LIVEBOX -(@10.1.1.1)-- - --(@10.1.1.2) -ASA5005-(@192.168.2.249)---|- LAN-- serveur_ssh (@192.168.2.201)

j'ai besoin de votre aide SVPPPPPPP

ianvs · Answer

Bonjour,

Pour l'ASA, il faut :
 - activer un nat static (sinon pas de transmission possible d'une interface "peu" sécurisée vers une interface "plus" sécurisée.
 - ajouter l'access-list qui autorise le message avec le bon protocole

Pour rendre les modifications permanantes il faut enregistrer la config ("wr mem" ou "copy run start") sinon au reboot la machine reprend la config avant modif.

sb1403 · Answer

Merci d'abord pour la réponse.

j'ai deja fait ce que vous avez demandé, et j'ai fait aussi la redirection des ports pour la Livebox:
tout trafic de port 22222 le rediriger vers l'interface outside du ASA (10.1.1.2)
j'arrive a me connecté de l'interieur vers l'exterieur mais pas le contraire.
je vous envoie la config du ASA:
ASA Version 7.2(4)
!
hostname aaa
…..
interface Vlan1
 nameif inside
 security-level 0
 ip address 192.168.2.249 255.255.255.0
!
interface Vlan2
 nameif outside
 security-level 0
 ip address 10.1.1.2 255.255.255.0
!
interface Ethernet0/0
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
 switchport access vlan 2
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
no ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
!
access-list inside_access_in extended permit icmp any any echo
access-list inside_access_in extended permit icmp any any echo-reply
access-list inside_access_in extended permit icmp any any unreachable
access-list inside_access_in extended permit icmp any any time-exceeded
access-list inside_access_in extended permit icmp any any
access-list inside_access_in extended permit tcp any any eq 11111
access-list inside_access_in extended permit ip any any
access-list outside_access_in extended permit icmp any any echo
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any unreachable
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit tcp any any eq 11111
access-list outside_access_in extended permit ip any any
pager lines 23
logging enable
logging buffered errors
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
asdm history enable
arp timeout 14400
global (outside) 1 10.1.1.15-10.1.1.253
nat (inside) 1 192.168.2.0 255.255.255.0
static (inside,outside) tcp interface 11111 192.168.2.4 11111 netmask 255.255.255.255
static (outside,inside) tcp interface 11111 192.168.2.4 11111 netmask 255.255.255.255
access-group inside_access_in in interface inside
access-group inside_access_in out interface inside
access-group outside_access_in in interface outside
access-group outside_access_in out interface outside
route outside 0.0.0.0 0.0.0.0 10.1.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.2.4 255.255.255.255 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 inside
ssh 192.168.2.4 255.255.255.255 inside
ssh 0.0.0.0 0.0.0.0 outside
ssh 192.168.2.4 255.255.255.255 outside
ssh timeout 5
console timeout 0
!
!
: end

ianvs · Answer

Ca ressemble à du PIX (version 6 maxi) :))

Question :
Les port 11111 eu lieu de 22222 c'est une faute de frappe ?

Erreurs possibles : NAT dans les deux sens ? il faut éviter ce n'est pas cohérent

Proposition de config :

hostname aaa
…..
interface Vlan1
nameif inside
security-level 0
ip address 192.168.2.249 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 10.1.1.2 255.255.255.0
!
interface Ethernet0/0
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
switchport access vlan 2
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
no ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
!
access-list outside_access_in extended permit icmp any any echo
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any unreachable
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit tcp any any eq 11111
access-list outside_access_in extended permit ip any any
pager lines 23
logging enable
logging buffered errors
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
asdm history enable
arp timeout 14400
global (outside) 1 10.1.1.15-10.1.1.253
nat (inside) 1 192.168.2.0 255.255.255.0
static (inside,outside) tcp interface 11111 192.168.2.4 11111
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 10.1.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.2.4 255.255.255.255 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 inside
ssh 192.168.2.4 255.255.255.255 inside
ssh 0.0.0.0 0.0.0.0 outside
ssh 192.168.2.4 255.255.255.255 outside
ssh timeout 5
console timeout 0

ianvs · Answer

Dans les éléments qui me chaginnent :
1) les security level :
interface Vlan1
nameif inside
security-level 0 => ok c'est dehors on fait pas confiance
ip address 192.x.x.249 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0 => non, c'est dedans, on connait, on fait confiance -> mettre security-level 100
ip address 10.x.x.2 255.255.255.0

Ne laisser que l'access-group qui va bien (au passage son nom n'est pas logique, mais c'est pas grave) :
access-group inside_access_in in interface outside

Enfin, si la box redirige le traffic vers l'ASA (son adresse IP) alors le NAT n'est pas bon, voici ce qui devrait marcher :
static (inside,outside) tcp interface <PORT> 192.x.x.201 <PORT>

Si tu veux garder ton NAT Static alors il faut rediriger les flux désirés vers l'adresse 10.x.x.3 dans la BOX.

sb1403 · Answer

J'ai changer le NAT comme ce que vous m'avez dit mais j'ai toujours le même problème.
Par contre j'ai laissé Level 0 pour vlan2 (outside) parce que quand j'ai mit 100 j'ai perdu totalement la connectivité.

comment faire SVP?

ianvs · Answer

Garder 2 interfaces avec le même niveau de sécurité (surtout les 2 à 0) n'est pas bon et surtout pas cohérent.

Mais soit.

Quels sont les messages de log avec cette config ? (ça nous aidera à avancer)

sb1403 · Answer

Merci beaucouuuuuuuup. c'est bon ça marche j'arrive à accéder de l'exterieur a mon serveur interne mais avec des ACLs qui autorise tous.
j'ai besoin  d'interdire tout trafic externe vers le port 22222 sauf vers 192.x.x.249 (cad le serveur)

j'ai changé les ACLs, voila ce que j'ai fait
access-list outside_access_in extended permit icmp any any echo
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any unreachable
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in extended permit tcp any host 192.168.2.201 eq 22222
access-list outside_access_in extended deny tcp any any eq 22222
access-list outside_access_in extended permit ip any any
access-group outside_access_in in interface outside


qd j'enlève cette ACL (access-list outside_access_in extended deny tcp any any eq 22222) ça marche sinon ça marche pas, je perd la connectivité de l'extérieur vers mon serveur.

Pourriez vous m'aider svp?

Configuration avancée Firewall Cisco PIX 501

18 réponses

Discussions similaires

Newsletters