PIX NAT Mysterium

Re(5): PIX NAT Mysterium

Schurl1981 — Tue, 24 Jun 2008 17:31:21 GMT

meine meinung!

Re(7): PIX NAT Mysterium

Glockman — Fri, 20 Jun 2008 12:50:58 GMT

Na bitte, geht doch

Du hast jetzt nur das "Problem", dass alles mit der .141 rausgeht... wird wahrscheinlich egal sein, aber ich wollte es erwähnt haben.

Ich frage mich aber trotzdem, wieso es nicht möglich ist, eine einzige IP-Adresse für jegliche Anwendung zu verwenden.

Muss gestehen, da verstehe ich nicht ganz, was Du meinst.

Re(6): PIX NAT Mysterium

Amorphis — Fri, 20 Jun 2008 10:42:46 GMT

Geschaft! es war das "global"-Statement !! DANKE dort war "interface" eingetragen. Haben jetzt xx..141 eingetragen. jetzt pfunziwunzifunztatatuts !!

Ich frage mich aber trotzdem, wieso es nicht möglich ist, eine einzige IP-Adresse für jegliche Anwendung zu verwenden. Somit wird die reale IP-Adresse 142 quasi nutzlos. ist mir ein Rätsel.

Re(6): PIX NAT Mysterium

Amorphis — Fri, 20 Jun 2008 10:42:46 GMT

Geschafft! es war das "global"-Statement !! DANKE dort war "interface" eingetragen. Haben jetzt xx..141 eingetragen. jetzt pfunziwunzifunztatatuts !!

Ich frage mich aber trotzdem, wieso es nicht möglich ist, eine einzige IP-Adresse für jegliche Anwendung zu verwenden. Somit wird die reale IP-Adresse 142 quasi nutzlos. ist mir ein Rätsel.

Re(5): PIX NAT Mysterium

Glockman — Fri, 20 Jun 2008 10:17:53 GMT

Ich kann mir nicht helfen, da hat's was...

Warum machst Du ein explizites PAT, wenn Du nachher in der ACL sowieso nur TCP/25 erlaubst?

Einfach ein

static (DMZ,outside) xxx.xxx.xxx.141 192.168.2.3 netmask 255.255.255.255 tcp 1000 1000

reicht auch und ist nicht weniger sicher.

Hast Du auch "global" und "nat" Statements in der Konfig? Was machst Du eigentlich mit den anderen Adressen, die Du noch hast? Sind die in einem dynamischen Pool drin?

Re(4): PIX NAT Mysterium

Amorphis — Fri, 20 Jun 2008 08:05:30 GMT

Folgende Config ist Running.

interface Ethernet0
speed 10
duplex full
nameif outside
security-level 0
ip address xxx.xxx.xxx.142 255.255.255.240

static (DMZ,outside) tcp xxx.xxx.xxx.141 smtp 192.168.2.3 smtp netmask 255.255.255.255 tcp 1000 1000

access-list incoming extended permit tcp any host xxx.xxx.xxx.141 eq smtp

access-list DMZ extended permit tcp 192.168.2.0 255.255.255.0 any eq smtp

access-group incoming in interface outside

Wenn wir nun aber alle xxx.xxx.xxx.141er Regeln durch die tatsächliche externe IP-Adresse des outside-Interfaces (xxx.xxx.xxx.142) ersetzen, werden die ankommenden Pakete gedropped.

Re(3): PIX NAT Mysterium

Glockman — Thu, 19 Jun 2008 16:15:22 GMT

Da stimmt dann aber an der globalen NAT-Konfig schon was nicht, ich hab das bei uns ebenfalls so drin und meine Mails kommen nicht von der Interface IP sondern der geNATteten.

Was sagt denn ein "show nat"? Da muss Dein Mailserver als "static translation to xxx.xxx.xxx.141" aufscheinen und darf NICHT aus dem Pool stammen.

EDIT:
Jetzt les ich das Anfangsposting nochmal... "Portweiterleitung", machst Du jetzt nur ein PAT oder doch NAT?

Re(3): PIX NAT Mysterium

Glockman — Thu, 19 Jun 2008 16:15:22 GMT

Re(2): PIX NAT Mysterium

Amorphis — Thu, 19 Jun 2008 07:05:32 GMT

naja genau so hab ichs, jedoch hat das Outgoing Interface 142 als IP, dh eine Mail kommt bei uns immer von 142. Der DNS Eintrag unserer Domain geht jedoch auch 141.

Re: PIX NAT Mysterium

Glockman — Wed, 18 Jun 2008 13:54:49 GMT

Hi!

Blöde Frage, aber warum machst Du nicht einfach ein NAT vom Mailserver (intern 192.168.0.111) auf die externe xxx.xxx.xxx.141


name [interne_IP_mailserver] mailserver
static (inside, outside) xxx.xxx.xxx.141 mailserver netmask 255.255.255.255
access-list acl_outside extended permit tcp any host xxx.xxx.xxx.141 eq smtp
access-group acl_outside in interface [name_if_external]

Oder hab ich da was falsch verstanden?

Re(4): PIX NAT Mysterium

Amorphis — Wed, 18 Jun 2008 13:08:42 GMT

diese banausen. blödes klicki-punkti

Re(3): PIX NAT Mysterium

Desolationrob — Wed, 18 Jun 2008 13:06:30 GMT

die haben sich schon längst ne ASA gekauft und administrieren die via SDM :D

Re(2): PIX NAT Mysterium

Amorphis — Wed, 18 Jun 2008 12:09:14 GMT

werd ich wohl müssen
ich halte do sooo viel von den Geizhälsen

Re: PIX NAT Mysterium

Desolationrob — Wed, 18 Jun 2008 11:58:39 GMT

config im mcseboard oder ciscoboard posten, da werden sie geholfen

PIX NAT Mysterium

Amorphis — Wed, 18 Jun 2008 09:57:10 GMT

Hiho!

Diese PIX bereitet mir schlaflose Nächte. Habe folgendes Problem.

Die PIX hat ein Outsideinterface mit der IP: xxx.xxx.xxx.142

Wir verfügen über 4 öffentliche IP Adressen von xxx.xxx.xxx.139-142.

unsere Permit Regeln erlauben incoming Protokolle auf xxx.xxx.xxx.141
dazu gibt es auch static(inside,outside) regeln für die Portweiterleitung.

Da wir nun Probleme mit verschiedensten Maildiensten haben, weil unsere Domain auf xxx.xxx.xxx.141 zeigt, eine Email aber von xxx.xxx.xxx.142 rausgeht, wollten wir alle regeln und weiterleitungen, dns-einträge nun auf xxx.xxx.xxx.142 umsetzen.

Doch damit funktionieren alle unsere angebotenen dienste (http, ssh) nicht mehr obwohl jetzt nur mehr eine IP-Adresse für alles Dienste verwendet werden.

setze ich jetzt aber das Interface auf 141, dann funktionieren alle Regeln mit 142.... ???????

Anscheinend müssen alle ACL-Regeln unterschiedliche IPs betreffen als das Outside Interface.

Ich hab schon alles durchgecheckt, aber find nichts in der Konfig, was dieses Verhalten auslöst. Im ASDM gibts so nen *TRÖT*trace, hab ich probiert, und da schreibt er, dass die ACL - Deny any das Paket blockiert. Aber die zieht doch nur wenn keine Permit Regel auf ein betreffendes Paket passt, was ja bei mir nicht der fall ist.

Wäre super wenn mir da ein PIX-Spezialist helfen könnte. DAS WURMT MICH SO!