High-Tech Santé Médecine Droit-Finances

Grippe A

Que dois-je faire ?

Rechercher : dans
Par :

Configuration avancée Firewall Cisco PIX 501

Dernière réponse le 29 avr 2009 à 17:55:03 Marc, le 11 nov 2007 à 20:11:27 
 Signaler ce message aux modérateurs

Bonjour,

J'ai mis en place un firewall Cisco Pix 501 entre un serveur SBS et une LiveboxPro. La configuration Nat est Ok. La configuration de base n'aura pas été trop compliquée à l'aide de bons tutoriaux. Par contre j'aimerais connaître les fonctions qui me permettraient de configurer le serveur Exchange du SBS (SMTP et POP) ainsi que la configuration pour une DB ouverte vers l'exterieur sur le firewall ? Pour la configuration avancée les tutoriaux sont beaucoup moins nombreux.
Il me semble que les fonctions sont :
object-group
access-list
access-group
Mais je ne sais quelle est la syntaxe. Il y a quelques exemples de config sur le net mais non expliqués.
Merci de votre aide.

Marc

Meilleures réponses pour « Configuration avancée Firewall Cisco PIX 501 » dans :
Configuration du pare-feu avancé de sécurité de Windows 7 VoirDans Windows 7 comme dans Vista il y a un pare-feu caché . Ce pare-feu n'est pas difficile a trouver . Il y a Quatre possibilités pour le découvrir . 1° Via Démarrer-< Exécuter , taper la console wf.msc 2° Via Démarrer et Rechercher...
Routeurs Cisco: Paramètres de base VoirIntroduction Cet article a pour but d'expliquer simplement les bases de la configuration et de l'administration de routeurs Cisco. Des connaissances sur la fonction d'un routeur et les protocoles de routage sont nécessaires pour la lecture de cet...
Installer un firewall sous Ubuntu (gufw) VoirLinux possède un firewall puissant (netfilter) qu'on peut configurer avec un outil en ligne de commande (iptables). Mais ce n'est pas très intuitif. Ubuntu 8.10 (Intrepid Ibex) est fourni avec un outil simplifié de configuration du firewall, gufw...
Posez votre question Répondre

1

ianvs, le 12 nov 2007 à 11:32:57
  • +1

Bonjour,

Avant il te faudra quelques informations :
-> ports à rendre visibles sur Internet (25 = SMTP, 110 pour POP et un pour ta DB)

Ensuite les commandes, ça dépend du nombre d'adresses IP publiques disponibles et du mode de fonctionnement de la Box Pro (modem ou routeur).

Dans l'ordre il faudra :
- une ou trois translation(s) statique(s)
- créer les access-list
- appliquer l'access-list sur l'interface externe

Voilà ...


Il est passé par là ... il passera par ici ...

   
Répondre à ianvs

2

Marc, le 12 nov 2007 à 16:22:47

Bonjour,

Merci ianvs pour ta réponse. Les ports à rendre accessible mais masqués depuis internet sont effectivement les 25,110,443 pour Exchange, et 12584 ou quelque chose comme ca pour la base de donnee qui n'est accessible que depuis une seule adresse IP (Y.Y.Y.Y). La liveBox Pro route tous ces ports vers le Cisco ; maintenant je souhaiterais qu'ils soient redirigés vers le serveur.

Par exemple :
L'IP publique est x.x.x.x
L'IP de la LiveBox est : 192.168.0.1
L'IP Outside du PIX est 192.168.0.2
L'IP Inside du PIX est 192.168.1.1
L'IP du serveur exchange est 192.168.1.2
L'IP de la Base de données est 192.168.1.3
L'IP d'un poste client connecte au serveur SBS (Exchange) : 192.168.16.10

Est-ce-que la configuration suivante te semble correcte ?

--Translations statiques :

#static (outside) 192.168.0.2 192.168.1.2 netmask 255.255.255.0
#static (outside) 192.168.0.2 192.168.1.3 netmask 255.255.255.0

--Création Access List

#port-object service webservices tcp
#port-object eq smtp
#port-object eq pop
#port-object eq https
#port-object eq smtp

#access-list external permit tcp any host 192.168.1.2 object-group webservices
#access-list external permit tcp any host 192.168.1.3 (Ici je ne sais comment indiquer que seule l'ip Y.Y.Y.Y (Qui se trouve sur le Web) pourra accéder au serveur de base de données)
#access-list external deny ip any any

--Application des Access List sur interface

#access group external in interface outside
#access group internal in interface inside

Merci beaucoup de ton aide !

Marc

   
Répondre à Marc

3

ianvs, le 13 nov 2007 à 11:45:28
  • +2

Bonjour,

La syntaxe des translations est légèrement érronnée, de plus on ne peut faire un NAT "static" avec l'adresse du PIX sans préciser les ports (et donc faire du PAT) et en donnant l'IP, voici la bonne syntaxe pour ce que tu cherches :
#static (inside,outside) tcp interface smtp 192.168.1.2 smtp [ netmask 255.255.255.0 ] ! smtp = 25
#static (inside,outside) tcp interface pop3 192.168.1.2 pop3 [ netmask 255.255.255.0 ] ! pop3 = 110
#static (inside,outside) tcp interface https 192.168.1.2 https [ netmask 255.255.255.0 ] ! https = 443
#static (inside,outside) tcp interface 12584 192.168.1.3 12584 [ netmask 255.255.255.0 ]


Je suis surpris de l'adresse du client (une adresse privée ne peut circuler sur Internet), mais si c'est pour l'exemple et éviter de donner la vraie adresse publique tu as bien fait.
Reprenons donc ...

regrouper les services ... pourquoi pas ... en tout cas ça semble correcte sauf que tu mets deux fois SMTP

Pour l'access-list, tu dois indiquer l'adresse translatée de la machine cible et tu n'as pas préciser le port pour la connexion Base de donnée, je propose ceci :
#access-list external permit tcp any host 192.168.1.2 object-group webservices
#access-list external permit tcp host Y.Y.Y.Y host 192.168.1.3 eq 12584 ! port à vérifier
=> la dernière ligne (deny ip any any) est inutile cas ajoutée de façon implicite par le PIX

Tu mets un access-group "inside", attention à ne le faire que si une access-list est définie.

Voilà ... j'espère avoir été clair et avoir bien compris ton besoin.


Il est passé par là ... il passera par ici ...

   
Répondre à ianvs

4

Marc, le 13 nov 2007 à 14:58:39

Bonjour ianvs,
Un immense Merci pour ton aide et pour m'avoir répondu si promptement ! C'est trés sympa de ta part. Je vais maintenant mettre en application tes conseils.
Je te souhaite une excellente journée et à bientôt peut-être !
Marc

   
Répondre à Marc

5

igor, le 11 avr 2008 à 10:52:51

Je veux savoir quel pix cisco vous me conseillerez en amélioration du pix 501

   
Répondre à igor

6

ianvs, le 11 avr 2008 à 13:14:14
  • +1

Bonjour,

Voici la gamme PIX dans l'ordre de leur puissance : 501, 506E, 515E, 525 et 535.
Une nouvelle gamme est sortie pour remplacer les PIX, les ASA : ASA5510, ASA5520 et ASA5540 dans un premier temps puis un petit (ASA5505) et deux gros : ASA5550 et ASA5580.

Est-ce que ça répond à ta question ?

Il est passé par là ... il passera par ici ...

   
Répondre à ianvs

7

igor, le 11 avr 2008 à 19:48:29

Bonjour ianvs,

je te remercie des infos sur les ASA! bonne continuité!!!
tu pourrais avoir des docs sur les config de la gamme de 500 ou asa
Merci encore

   
Répondre à igor

8

ianvs, le 20 avr 2008 à 18:53:26
  • +1

Désolé, je n'ai pas de doc ... je fais sans en fait.

Par contre ... je te propose ce lien :
http://www.cisco.com/en/US/docs/security/asa/asa70/quick/gui­de/70_ASAqk.html

Qui te guidera pour la config des PIX et ASA en version 7.0. (les version 7.1 ou 7.2 sont très proches)

Ciao

Il est passé par là ... il passera par ici ...

   
Répondre à ianvs

9

THIERRY, le 18 avr 2009 à 08:29:40

Bonjour,

question bête.
Une fois qu'on a créé une configuration nat du genre
match tcp inside host LEMAN eq 443 outside any
static translation to Pub_IP_Marignier/443

quelle est la commande pour la supprimer ?

   
Répondre à THIERRY

10

ianvs, le 20 avr 2009 à 13:59:22
  • +2

Bonjour,

Comme souvent dans les configs Cisco : "no <commande à supprimer>". Il est passé par là ... il passera par ici ...

   
Répondre à ianvs

11

Clément, le 22 avr 2009 à 10:51:40

Bonjour, j'ai configuré des régles NAT sur mon CISCO PIX501. Voici la configuration : 

access-list inbound permit tcp any any eq 80
access-group inbound in interface outside
static (inside,outside) tcp interface 80 192.168.1.1 80 netmask 255.255.255.255


Une fois la commande effectuée, le serveur WEB est accessible depuis internet. Lorsque le routeur redémarre, mes règles NAT n'existe plus, je suis obligé de les créées à nouveau.
Comment cela fait il ? Comment les rendre permanentes ?

   
Répondre à Clément

12

sb1403, le 22 avr 2009 à 19:16:08

Bonjour
j'ai le même problème mais avec un asa 5005:

avant d'installer le ASA j'avais le schéma suivant:
-(@PUBLIQUE)--LIVEBOX -(@192.168.2.249)---|-LAN-- serveur_ssh (@192.168.2.201)

j'avais possibilité d'accéder au serveur_ssh (avec 192.168.201 et un numéro de port que j'ai configurer 22222),car la livebox se charge de rediriger tout trafic de port 22222 vers le poste 192.168.2.201).

maintenant apvec l'intégration du ASA (voir schéma ci-dessous), j'arrive plus à accéder de l'extérieur au serveur_ssh!!!!
-(@PUBLIC)- LIVEBOX -(@10.1.1.1)-- - --(@10.1.1.2) -ASA5005-(@192.168.2.249)---|- LAN-- serveur_ssh (@192.168.2.201)

j'ai besoin de votre aide SVPPPPPPP

   
Répondre à sb1403

13

ianvs, le 23 avr 2009 à 15:23:22

Bonjour,

Pour l'ASA, il faut :
- activer un nat static (sinon pas de transmission possible d'une interface "peu" sécurisée vers une interface "plus" sécurisée.
- ajouter l'access-list qui autorise le message avec le bon protocole

Pour rendre les modifications permanantes il faut enregistrer la config ("wr mem" ou "copy run start") sinon au reboot la machine reprend la config avant modif.
Il est passé par là ... il passera par ici ...

   
Répondre à ianvs

14

sb1403, le 23 avr 2009 à 17:58:19

Merci d'abord pour la réponse.

j'ai deja fait ce que vous avez demandé, et j'ai fait aussi la redirection des ports pour la Livebox:
tout trafic de port 22222 le rediriger vers l'interface outside du ASA (10.1.1.2)
j'arrive a me connecté de l'interieur vers l'exterieur mais pas le contraire.
je vous envoie la config du ASA:
ASA Version 7.2(4)
!
hostname aaa
…..
interface Vlan1
nameif inside
security-level 0
ip address 192.168.2.249 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 10.1.1.2 255.255.255.0
!
interface Ethernet0/0
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
switchport access vlan 2
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
no ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
!
access-list inside_access_in extended permit icmp any any echo
access-list inside_access_in extended permit icmp any any echo-reply
access-list inside_access_in extended permit icmp any any unreachable
access-list inside_access_in extended permit icmp any any time-exceeded
access-list inside_access_in extended permit icmp any any
access-list inside_access_in extended permit tcp any any eq 11111
access-list inside_access_in extended permit ip any any
access-list outside_access_in extended permit icmp any any echo
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any unreachable
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit tcp any any eq 11111
access-list outside_access_in extended permit ip any any
pager lines 23
logging enable
logging buffered errors
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
asdm history enable
arp timeout 14400
global (outside) 1 10.1.1.15-10.1.1.253
nat (inside) 1 192.168.2.0 255.255.255.0
static (inside,outside) tcp interface 11111 192.168.2.4 11111 netmask 255.255.255.255
static (outside,inside) tcp interface 11111 192.168.2.4 11111 netmask 255.255.255.255
access-group inside_access_in in interface inside
access-group inside_access_in out interface inside
access-group outside_access_in in interface outside
access-group outside_access_in out interface outside
route outside 0.0.0.0 0.0.0.0 10.1.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.2.4 255.255.255.255 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 inside
ssh 192.168.2.4 255.255.255.255 inside
ssh 0.0.0.0 0.0.0.0 outside
ssh 192.168.2.4 255.255.255.255 outside
ssh timeout 5
console timeout 0
!
!
: end

   
Répondre à sb1403

15

ianvs, le 29 avr 2009 à 11:54:43

Ca ressemble à du PIX (version 6 maxi) :))

Question :
Les port 11111 eu lieu de 22222 c'est une faute de frappe ?

Erreurs possibles : NAT dans les deux sens ? il faut éviter ce n'est pas cohérent

Proposition de config :

hostname aaa
…..
interface Vlan1
nameif inside
security-level 0
ip address 192.168.2.249 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 10.1.1.2 255.255.255.0
!
interface Ethernet0/0
interface Ethernet0/1
!
interface Ethernet0/2
!
interface Ethernet0/3
!
interface Ethernet0/4
switchport access vlan 2
!
interface Ethernet0/5
!
interface Ethernet0/6
!
interface Ethernet0/7
!
no ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
!
access-list outside_access_in extended permit icmp any any echo
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any unreachable
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in extended permit icmp any any
access-list outside_access_in extended permit tcp any any eq 11111
access-list outside_access_in extended permit ip any any
pager lines 23
logging enable
logging buffered errors
mtu inside 1500
mtu outside 1500
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
asdm history enable
arp timeout 14400
global (outside) 1 10.1.1.15-10.1.1.253
nat (inside) 1 192.168.2.0 255.255.255.0
static (inside,outside) tcp interface 11111 192.168.2.4 11111
access-group outside_access_in in interface outside
route outside 0.0.0.0 0.0.0.0 10.1.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.2.4 255.255.255.255 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 inside
ssh 192.168.2.4 255.255.255.255 inside
ssh 0.0.0.0 0.0.0.0 outside
ssh 192.168.2.4 255.255.255.255 outside
ssh timeout 5
console timeout 0 Il est passé par là ... il passera par ici ...

   
Répondre à ianvs

16

sb1403, le 29 avr 2009 à 14:26:11

Bonjour
je vous remercie pour la réponse.
j'ai fait ce que vous avez demandé et ça marche tjrs pas.
je vais vous expliquer ma configuration plus en détail
en faite ma config est la suivante:
(WAN)-- livebox ---- ASA5005 ---- (LAN:192.x.x.0) -- serveur(192.x.x.201)
Avec par exemple les adresses suivantes:
-Livebox: 10.x.x.1
-ASA: 10.x.x.2 (interface outside)
192.x.x.249 (interface Inside)
-serveur interne: 192.x.x.201 port 3333 naté en 10.x.x.3

J'ai configuré la livebox pour qu'elle dérige tout le trafic vers l'interface outside du ASA (c-à-d:10.x.x.2)

Dans la config du ASA:
j'ai mis en place la config suivante (j'ai tout autorisé sur toutes les interfaces pour s'assurer que ce n'est pas problème d'ACL). voici la config:
interface Vlan1
nameif inside
security-level 0
ip address 192.x.x.249 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 10.x.x.2 255.255.255.0

global (outside) 1 10.x.x.15-10.x.x.253
nat (inside) 1 192.x.x.0 255.255.255.0 //(192.x.x.0 réseau LAN)
static (inside,outside) 10.x.x.3 192.x.x.201 netmask 255.255.255.255

access-list inside_access_in extended permit tcp any any eq 3333
access-list inside_access_in extended permit tcp any any eq 3333
access-list inside_access_in extended permit ip any any

access-group inside_access_in in interface inside
access-group inside_access_in out interface inside
access-group inside_access_in in interface outside
access-group inside_access_in out interface outside

Je suis bloqué depuis un bon moment SVP aidez moi.
merci d'avance

   
Répondre à sb1403

17

ianvs, le 29 avr 2009 à 14:44:16

Dans les éléments qui me chaginnent :
1) les security level :
interface Vlan1
nameif inside
security-level 0 => ok c'est dehors on fait pas confiance
ip address 192.x.x.249 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0 => non, c'est dedans, on connait, on fait confiance -> mettre security-level 100
ip address 10.x.x.2 255.255.255.0

Ne laisser que l'access-group qui va bien (au passage son nom n'est pas logique, mais c'est pas grave) :
access-group inside_access_in in interface outside

Enfin, si la box redirige le traffic vers l'ASA (son adresse IP) alors le NAT n'est pas bon, voici ce qui devrait marcher :
static (inside,outside) tcp interface <PORT> 192.x.x.201 <PORT>

Si tu veux garder ton NAT Static alors il faut rediriger les flux désirés vers l'adresse 10.x.x.3 dans la BOX. Il est passé par là ... il passera par ici ...

   
Répondre à ianvs

18

sb1403, le 29 avr 2009 à 16:10:53

J'ai changer le NAT comme ce que vous m'avez dit mais j'ai toujours le même problème.
Par contre j'ai laissé Level 0 pour vlan2 (outside) parce que quand j'ai mit 100 j'ai perdu totalement la connectivité.

comment faire SVP?

   
Répondre à sb1403

19

ianvs, le 29 avr 2009 à 16:37:24

Garder 2 interfaces avec le même niveau de sécurité (surtout les 2 à 0) n'est pas bon et surtout pas cohérent.

Mais soit.

Quels sont les messages de log avec cette config ? (ça nous aidera à avancer) Il est passé par là ... il passera par ici ...

   
Répondre à ianvs

20

 sb1403, le 29 avr 2009 à 17:55:03

Merci beaucouuuuuuuup. c'est bon ça marche j'arrive à accéder de l'exterieur a mon serveur interne mais avec des ACLs qui autorise tous.
j'ai besoin d'interdire tout trafic externe vers le port 22222 sauf vers 192.x.x.249 (cad le serveur)

j'ai changé les ACLs, voila ce que j'ai fait
access-list outside_access_in extended permit icmp any any echo
access-list outside_access_in extended permit icmp any any echo-reply
access-list outside_access_in extended permit icmp any any unreachable
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in extended permit tcp any host 192.168.2.201 eq 22222
access-list outside_access_in extended deny tcp any any eq 22222
access-list outside_access_in extended permit ip any any
access-group outside_access_in in interface outside


qd j'enlève cette ACL (access-list outside_access_in extended deny tcp any any eq 22222) ça marche sinon ça marche pas, je perd la connectivité de l'extérieur vers mon serveur.

Pourriez vous m'aider svp?

   
Répondre à sb1403
Posez votre question Répondre
Ils ont besoin de votre aide
Collection CommentÇaMarche.net