Configuration Pix501 ciscoFermé

Question

Bonjour, J'ai mis en place un firewall Cisco Pix 501 entre un serveur et une Livebox inventel. en gros: INTERNET --------- ip publique : X.X.X.X ip Admin : 192.168.1.1 ------------- ip outside : 192.168.1.156 ip inside : 192.168.0.1 -------------- serveur / machine en ip 192.168.0.X j'ai commencé a configurer le pix mais j'ai du rater un wagon...je souhaite que les postes / serveurs aient seulement accès au protocoles suivant : ftp/21 , HTTP/80 , POP/110 , SMTP/25 Je n'arrive pas a avoir internet sur mes postes " inside" Dois je configurer le nat sur ma livebox ou sur le pix? voici ma config pur le moment PIX Version 6.3(5) interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall domain-name ciscopix.com fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 access-list acl-out permit icmp any any echo-reply access-list acl-out permit icmp any any echo pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside dhcp setroute ip address inside 192.168.0.1 255.255.255.0 ip audit info action alarm ip audit attack action alarm pdm location 192.168.0.12 255.255.255.255 inside pdm location 192.168.1.0 255.255.255.0 inside pdm logging informational 100 pdm history enable arp timeout 14400 global (outside) 1 interface nat (inside) 1 0.0.0.0 0.0.0.0 0 0 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local http server enable http 192.168.1.0 255.255.255.0 inside http 192.168.0.12 255.255.255.255 inside no snmp-server location no snmp-server contact snmp-server community public snmp-server enable traps tftp-server inside 192.168.0.12 /conf.actu floodguard enable telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd auto_config outside terminal width 80 j 'attend vos remarques et conseils

Nico le Vosgien · Answer

Bonjour,

Je pense qu'il y a quelques details à regler ;)

--> Ta conf recupere l'ip outside en dhcp de la livebox à priori : ton schéma parle d'une "192.168.1.156" : va falloir choisir !!! 

Vu ce que je comprends, tu vas avoir un double NAT : ta live box qui va nater ton adresse privée outside avec la publique internet. et ton pix qui va nater entre l'inside et outside.

Sauf besoin particulier pour des NAT static (qui doivent donc conserver les mêmes ports), logiquement, tu n'as rien à faire sur la box

--> reste donc ta conf PIX 

y'a un souci sur tes acl : il faut creer une acl "in" qui autorise les flux à sortir : 192.168.0.X vers any.

De la même maniere , si tu as des flux entrant (internet -> pix), il faut que ton acl-out les definisse.

Et dernier point : il faut appliquer ces acl sur les intf : je ne vois pas cela dans ta conf.

Pour ton out, par exemple, ça donne cela : 

access-group acl-out in interface outside

agu · Answer

Bonjour , 

donc j'ai ajouté l'ACL suivante:

access-list inside permit ip 192.168.0.0 255.255.255.0 any

et j'ai appliqué l'acl sur les interface  comme ça:

access-group inside in interface inside (j 'ai mis inside apres group car si je mets "acl-in "  j'ai une erreur access-list <acl-in> does not exist)

ce qui autorise  les flux à sortir,  local => internet , on est d 'accord?

mais je n'arrive toujours pas a accéder au net via mes machines sur le local. Sachant qu'au niveau d'un poste  sur mon local  je lui ai mis une ip fixe du style 192.168.0.12  255.255.255.0 et passerelle 192.168.0.1 . 

Sachant que pour le moment pas de flux entrant , mais je vais surement mettre un VPN en place avec remote access via client vpn cisco donc en gros :

access-list outside  permit ip X.X.X.X  X.X.X.X   protocol X

et j 'applique l acl a l interface :

access-group acl-out in interface outside , c'est bien ça ? Mais commet je fais puisque l'ip qui va tenter d'entrer ne sera jamais la même si le portable ne se connecte jamais du meme endroit?

Nico le Vosgien · Answer

Bon ben on avance ;)

-> Pour ton acl, oui, avec cette ligne, tu autorises ton lan à sortir

etrange que tu aies une erreur : l'acl était bien créee avant de l'appliquer sur l'intf ? acl-out fonctionne : pas de raison que ce ne soit pas le cas ici

Maintenant, il faut entrer un peu dans le detail :

-> Les intf du pix sont up ?
-> L'outside du pix  ping bien la Box ?
-> Le PC sur le LAN arrive t il a pinger la box ?
-> Les NAT sont ils ok (show xlate normalement) : tu dois voir le nat (ou plutot pat dans notre cas) 

-> Je pense qu'il faut ajouter une static default au pix en lui indiquant de tout envoyer à la box 

Ca depend de ta version mais la cmde doit ressembler à cela : 

route outside 0.0.0.0 0.0.0.0  192.168.1.1 

-> Fianlement, ton outisde est en dhcp ou tu l'as fixée ? car ta config dhcp implique que tu reçois egalement la default en dhcp : je ne sais pas trop ce qui se passe sur ton pix !! je pense que le plus simpel serais que tu fixe l'outside

-> ton acl outsie autorise l'externe à entrer en icmp : à priori pas utile pour tes 1ers tests ;)

Tu peux supprimer la ligne

access-list acl-out permit icmp any any echo 

Par contre, il faudrait ajouter l'icmp pour tes flux sortants

access-list inside permit icmp any any echo

agu · Answer

Les intf du pix sont up ? 

oui a priori les interface 0 et 1 sont bien up (j'ai vérifié  via  hyper terminal et via console de gestion https

L'outside du pix ping bien la Box ?

j'ai tester la commande ping 192.168.1.1 depuis hyper terminal   et ca ping bien la box

Le PC sur le LAN arrive t il a pinger la box ? 

non le pc du lan ne ping pas la box  => je dois avoir un souci de routage..

Les NAT sont ils ok (show xlate normalement) : tu dois voir le nat (ou plutot pat dans notre cas) 

je n'ai rien configuré de spécial ... quand je fais show xlate j'ai ça :     0 in use, 1 most used

nat (inside) 1 0.0.0.0 0.0.0.0 0 0 ça signifie que par defaut inside  intf 1 est mappé sur l interface 0 soit 192.168.1.156 non?


ton outisde est en dhcp ou tu l'as fixée ? 

j'ai mis l'ip en dur  192.168.1.156  255.255.255.0 au pix  , et non plus par dhcp de la box


Je pense qu'il faut ajouter une static default au pix en lui indiquant de tout envoyer à la box

j'ai rajouté la  ligne

route outside 0.0.0.0 0.0.0.0 192.168.1.1 



ajouter l'icmp pour tes flux sortants 

c'est bon j'ai ajouté :

access-list inside permit icmp any any echo


voici la conf  maintenant:

PIX Version 6.3(5)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall
domain-name ciscopix.com
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list inside permit ip 192.168.0.0 255.255.255.0 any
access-list inside permit icmp any any echo
access-list inside permit icmp any any echo-reply
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 192.168.1.156 255.255.255.0
ip address inside 192.168.0.1 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.0.0 255.255.255.0 inside
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0  à modifier ?
access-group inside in interface inside
route outside 0.0.0.0 0.0.0.0 192.168.1.1 
timeout xlate 0:05:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config outside
terminal width 80
Cryptochecksum:bebfb785c6ad75f04c8c501bd6aeff01
: end

brupala · Answer

Salut,
je ne crois pas que mettre un pix derrière une lbx soit une bonne idée .
La livebox ne me parait pas assez souple dans ses possibilités de configuration pour cela .
la lbx fait du nat sur la plage 192.168.1.0 /24 il n'est pas sûr qu' elle puisse nater la palge 192.168.0.0/24 .
une livebox sagem doit pouvoir le faire , mais une inventel, ça n'est pas sûr car elle a un seul sous réseau contrairement à la sagem .
ou alors, il faudrait configurer le pix en pont, mais c'est une autre affaire , je ne suis pas sûr que ce soit possible .
heu si, 
à priori oui: http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a008089f467.shtml
en mode transparent .
il vaudrait donc mieux que tu fasses une configuration de ce type (ton réseau local sera alors en 192.168.1.0/24)

Nico le Vosgien · Answer

Ta ligne nat indique en fait que tu vas faire un pat.

Ici, tu ne fais aucune distinction : tout ce qui est sur inside va être mappé sur l'outside.

Pour plus de clareté et securité (même si ici ça n'a pas beaucoup de sens !), tu peux remplacer 0.0.0.0 0.0.0.0 par ton LAN , soit 192.168.0.0/24

--> Ta conf fait tjs apparaître du dhcp pour l'outside, c'est normal ?
--> Il ne faut pas supprimer completement l'acl-out que tu avais.

Pour que l'icmp te reponde, il te faut au minimum :

access-list acl-out permit icmp any any echo-reply

Pense à reappliquer l'acl sur l'intf

access-groupacl-out in interface outside

--> Quand tu tentes une connexion tcp (par exemple) , logiquement, en faisant un show xlate, tu devrais avoir un PAT de construit

--> Les PC on bien l'inside du PIX comme GW ?  un dns valide ?

Comme je ne connais pas la Live, il n'y a pas de filtrage dessus ?


L'outside de ton PIX a une adresse valide sur la Live pour surfer ? 
--> Si tu ping internet depuis l'outside du pix, c'est ok ?

agu · Answer

Bonjour,

j'ai rajouté : access-list acl-out permit icmp any any echo-reply

et je l'ai appliqué a l intf: access-groupacl-out in interface outside

Ta conf fait tjs apparaître du dhcp pour l'outside, c'est normal ?

oui j'avais juste mis en dur l ip out du pix , j'ai désactivé le dhcp de la box  maintenant c est bon
par contre comment je supprime la ligne (dhcpd auto_confg outside) ?

Les PC on bien l'inside du PIX comme GW ? un dns valide ? 

les pc du lan ont l ip 192.168.0.1 (inside du pix) en passerelle et en DNS

Comme je ne connais pas la Live, il n'y a pas de filtrage dessus ? 

il y a bien un filtrage mais j'ai  mis en dmz sur la box l ip out du pix  donc pas de filtrage sur l ip



L'outside de ton PIX a une adresse valide sur la Live pour surfer ?
--> Si tu ping internet depuis l'outside du pix, c'est ok ? 

oui j ai testé le ping sur l ip de google ça répond

->de mon client lan je ping bien l'ip de la box 192.168.1.1 mais également internet !!!! j'ai testé le ping sur l ip de google et ça passe ...
A priori c'est le dns qui merdouille ......  si dans IE ou firefox je tape l ip de google  ça fonctionne...

agu · Answer

Ok 'j ai modifié le DNS  c'est bon j 'ai internet 

en tout cas merci pour le coup de main.

Bon maintenant je vais essaye de m'attaquer au vpn

agu · Answer

Il pourrait également faire du NAT transparent

c'est à dire ?

Nico le Vosgien · Answer

cool 

Ca m'a permis de me rafraîchir un peu sur le pix ;)

Bon courage pour la suite

agu · Answer

Merci encore et je garde sous le coude le nat transparent ;)

agu · Answer

Salut

Maintenant, j'essaye de monter un VPN pour tester via Remote access avec client microsoft PPTP sachant qu'à terme j'utiliserais le client vpn cisco.

Mais bon pour le moment je bloque un peu voici ce que j' ai ajouté à la config :


access-list INSIDE permit ip 192.168.0.0 255.255.255.0 192.168.2.0 255.255.255.0 
access-list OUTSIDE permit ip 192.168.2.0 255.255.255.0 192.168.0.0 255.255.255.0 log 
access-list VPN permit ip 192.168.0.0 255.255.255.0 192.168.2.0 255.255.255.0 

ip local pool VPNpool 192.168.2.1-192.168.2.10
 
J'ai essayé de paramétrer un vpn en PPTP avec un compte test mais ça fonctionne pas 

fixup protocol gre 1723

vpdn group PPTP-VPDN-GROUP accept dialin pptp
vpdn group PPTP-VPDN-GROUP client configuration address local TEST
vpdn group PPTP-VPDN-GROUP client configuration dns 192.168.0.1 10.0.0.138
vpdn group PPTP-VPDN-GROUP client configuration wins 192.168.0.1
vpdn group PPTP-VPDN-GROUP pptp echo 60
vpdn username test password *********
vpdn enable outside

agu · Answer

hum je vois pas bien où ça cloche... pourtant j'ouvre bien l accès de l'outside vers inside  pour le vpn...

agu · Answer

Ben a priori, la livebox fait du nat  dans les 2 sens et n'a pas le FW d'activé donc ça doit être bon non?

Nico le Vosgien · Answer

Hello,

Je passe en coup de vent et j'ai donc pas trop le temps de me pencher sur les questions.

Nénanmoins, je pense que ton pb actuel doit se rapprocher de ce que nous parlions avec brupala : les ennuis commencent !!

Comme on fait un double pat, le suivi des ports est assez compliqué.

Je pense qu'il faudrait commencer par modifier cela : repartir sur des nat static afin de savoir quelle adresse inside est natée avec quelle adresse outside.

agu · Answer

ok donc ... il faut que je procède dans un premier temps en passant le pix en bridge c'est bien ça?

je dois dire attibuer au pix une ip  en 192.168.1.X et le laisser filtrer ? c 'est bien ça? mais comment ça se passe avec les intf inside et outside?

et en plus  mettre en dur les ip qui vont etre naté?

agu · Answer

ou je configure le nat  sur un pool d'ip ?

agu · Answer

salut,
Je souhaite monter un vpn par le pix, et donc pouvoir me connecter d un site distant si besoin avec mon portable

agu · Answer

c'est le pix qui termine ton tunnel ou un serveur pptp derriere le pix ? (sur ton lan donc)

oui tout a fait, sachan que le pix 501 peut fair serveur vpn il me semble

je dois confiurer ça ?

ip local pool pptp-pool 192.168.2.1-192.168.2.10
sysopt connection permit-pptp
vpdn group 1 accept dialin pptp
vpdn group 1 ppp authentication pap
vpdn group 1 ppp authentication chap
vpdn group 1 ppp authentication mschap
vpdn group 1 client configuration address local pptp-pool
vpdn enable outside 


Mais je dois déja mettre mon pix en transparant non?
pour hévier le double pat?



Il faut aussi je pense fixer le 1723 sur la box entre l'adresse de pat d'orange et ton outside du pix

donc je fais du style  X.X.X.X : 1723 (ip wan) vers X.X.X.X : 1723 (ip outside du pix) c'est bien ça?

Comment simules tu la connection ?
comment ça?

en j 'ai un portable sur une autre connexion adsl  en wifi et je configure une connection PPTP pour me connecter au pix en pointant sur l ip wan...

agu · Answer

Sachant qu'à échéant je compte utiliser le client cisco VPN pour me connecter sur mon lan local depuis n'importe quel site distant

agu · Answer

J'ai changé également de modem, j 'ai mis au placard la livebox inventel et j'ai acheté : http://www.ldlc-pro.com/fiche/PB00030731.html qui sera mieux je pense.

agu · Answer

oui, il peut faire "serveur" pour ton tunnel mais c'est justement la question : s'il fait serveur pptp, tu as effectivement besoin de definir cette conf vpdn group, si ce n'est pas le cas, il faut "juste" autoriser les proto à le traverser : la conf n'est donc pas la même ;) 


Le pix sera le serveur vpn.... maintenant je voulais tester en pptp pour voir si ça fonctionne . Mais donc va falloir que je prévois la conf  pour passer par la suite en IPSEC...

ben plus forcement : si ton but etait de monter ton vpn avec un pc derriere le pix, ça aurait certainement aidé. La , c'est ton pix : il faut "juste" que tu fixes les ports pptp pour mapper l'adresse livebox avec ton outside pix 

mon but et de pouvoir accéder au lan local   à partir d un poste nomade via vpn, sachant que le pix sera serveur vpn. (du moin c est comme ca que j ai vu la chose ... lol )


oui, j'ai essayé de reprendre ta conf , te modifier ce qui me semble erroné et de completer pour tenter de faire fonctionner ton 'histoire' lol

oki , je teste ça demain

agu · Answer

Salut,


donc au niveau du  modem , 

1 ) j'ai  mis en DMZ  l'interface OUTSIDE (10.0.0.137) du pix comme ca tout est autorisé à passer en théorie...

2)  j'ai mis en place dérivation de port  sur le modem 

protocol TCP   |  port PPTP 1723 | transféré sur IP OUTSIDE du PIX (10.0.0.137)

quand j 'essaye de me connecter  d'un poste distant j'obtiens erreur 651: le modem (ou autre périphérique de connexion) a renvoyé une erreur...

agu · Answer

j'ai change un peu le plan d 'adressage oui mais rien de bien méchant je te met la conf: nouveau plan d'adressage: INTERNET --------- ip publique : X.X.X.X ip Admin : 10.0.0.138 ------------- ip outside : 10.0.0.137 ip inside : 192.168.0.2 -------------- serveur / machine en ip 192.168.0.X t'es tjs en pptp ou tu bascules en ipsec ? j'en suis resté à tes paramètres .. et j essaye de voir pour PPTP déja Tu as des logs de connexion sur ton pix ? tu as passé des show ? (ppp, vpdn ..) non conf pix: PIX Version 6.3(5) interface ethernet0 auto interface ethernet1 100full nameif ethernet0 outside security0 nameif ethernet1 inside security100 enable password gq4l2AOblWc1Fo/j encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall domain-name pix fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names object-group service VPN-PPTP tcp port-object eq pptp access-list inside permit ip 192.168.0.0 255.255.255.0 any access-list inside permit icmp any any echo access-list inside permit icmp any any echo-reply access-list acl-out permit icmp any any echo-reply pager lines 24 mtu outside 1500 mtu inside 1500 ip address outside 10.0.0.137 255.0.0.0 ip address inside 192.168.0.2 255.255.255.0 ip audit info action alarm ip audit attack action alarm ip local pool pptp-pool 192.168.2.1-192.168.2.10 pdm location 192.168.0.0 255.255.255.0 inside pdm location 192.168.0.200 255.255.255.252 outside pdm location 0.0.0.0 255.255.255.255 outside pdm logging informational 100 pdm history enable arp timeout 14400 global (outside) 1 interface global (inside) 2 interface nat (inside) 1 0.0.0.0 0.0.0.0 0 0 access-group acl-out in interface outside access-group inside in interface inside route outside 0.0.0.0 0.0.0.0 10.0.0.138 1 timeout xlate 0:05:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local http server enable http 192.168.0.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable sysopt connection permit-pptp telnet timeout 5 ssh timeout 5 console timeout 60 vpdn group 1 accept dialin pptp vpdn group 1 ppp authentication pap vpdn group 1 ppp authentication chap vpdn group 1 ppp authentication mschap vpdn group 1 client configuration address local pptp-pool vpdn group 1 pptp echo 60 vpdn username test password ********* vpdn enable outside terminal width 80 Cryptochecksum:6faae900fe2701482497045a7d768533 : end voila

agu · Answer

J'ai rajouté :


vpdn group mygroup ppp encryption mppe 128 required

vpdn group mygroup client authentication local

et j'arrive a connecter un portable en PPTP mais je ne vois pas les machines sur le lan .... c'est bizar

agu · Answer

ok reste dans le coin je teste de suite
je te dis si ok ou non

je rajoute :

access-list 100 permit ip 192.168.0.0 255.255.255.0 192.168.0.0 255.255.255.0

j'avais modif le pool  et l avais mis sur la meme classe d'ip que le lan local soit 192.168.0.30 à .40



nat (inside) 0 access-list 100

agu · Answer

nikel chrome ca roule ;)


c'était bien ça...


Bon maintenant je vais commencer a plancher sur la config  IPSEC.. ^^ le temps que je recup le client VPN Cisco

Milcornu · Answer

Bonjour,

Aidez-moi à modifier "access-list" de façon à autoriser seulement les adresses de mon reseau 193.10.10.0
à aller sur internet uniquement avec les protocoles http et https uniquement.
Cela sufit-il à empecher les telechargements de fichiers executables??
Je suis nouveau dans l'administration d'un PIX alors en attendant ma prochaine formation, j'ai hate de m'y mettre
Merci


PIX Version 6.3(1)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
enable password 8TyzZEyB0Zo7E6e5 encrypted
passwd w4ijrnJNnHsB624q encrypted
hostname ESSAI
domain-name bibebank.com
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
name 192.168.200.190 Sortie_Pix
name 193.10.10.196 Entree_Pix
access-list inside permit icmp any any 
access-list inside permit ip any any 
pager lines 66
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside Sortie_Pix 255.255.255.0
ip address inside Entree_Pix 255.255.255.0
no ip address dmz
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 1 192.168.200.2-192.168.200.180
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group inside in interface inside
route outside 0.0.0.0 0.0.0.0 192.168.200.250 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:10:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:10:00 absolute
aaa-server TACACS+ protocol tacacs+ 
aaa-server RADIUS protocol radius 
aaa-server LOCAL protocol local 
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet 193.10.10.108 255.255.255.255 inside
telnet timeout 45
ssh timeout 5
console timeout 15
username novice password    encrypted privilege 15
terminal width 80
Cryptochecksum:05da5924ad62c01b36864369945703276
: end

milcornu · Answer

Salut Agu

Merci pour ta précision, mais il faut que j'explique un peu plus ce que je cherchais à faire:

Dans un premier temps, je voudrais réduire la consommation de la bande passante pour internet surtout les téléchargement set les virus qui pilulent et emettent sur mon réseau.
Dans un second temps, j'ai bien conscience qu'il me faut un proxy mais, le problème c'est que je me demande s'il peut controler les flux vers le PIX qui n'est que dans mon réseau comme passerelle interdisant les connexions externes à celui-ci.
j'ai un DNS (qui joue le rôle de DHCP) qui a pour Gateway le PIX

milcornu · Answer

Re: AGU

Dans ce cas aide-moi à modifier mon access-liste dans le pix;

voici ce qu'il y avait :
access-list inside permit icmp any any 
access-list inside permit ip any any 

Le but du jeu sera de n'autoriser qu'une seule machine (la 193.10.10.2) a passer avec tout les protocoles sans etre accessible de l'extérieur (d'internet) puis d'y instaler le proxy qui filtrera les autres flux sortants.

Merci de m'apprendre la syntaxe de la commande access-list (création, modification et sauvegarde)

milcornu

milcornu · Answer

Merci à brupala je mettrai ça en oeuvre et je te donnerai des nouvelles dès que j'aurai fini

milcornu

Configuration Pix501 cisco

31 réponses

Discussions similaires

Newsletters