PIX NAT Mysterium

PIX NAT Mysterium (16 Beiträge, 324 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Hiho!

Diese PIX bereitet mir schlaflose Nächte. Habe folgendes Problem.

Die PIX hat ein Outsideinterface mit der IP: xxx.xxx.xxx.142

Wir verfügen über 4 öffentliche IP Adressen von xxx.xxx.xxx.139-142.

unsere Permit Regeln erlauben incoming Protokolle auf xxx.xxx.xxx.141
dazu gibt es auch static(inside,outside) regeln für die Portweiterleitung.

Da wir nun Probleme mit verschiedensten Maildiensten haben, weil unsere Domain auf xxx.xxx.xxx.141 zeigt, eine Email aber von xxx.xxx.xxx.142 rausgeht, wollten wir alle regeln und weiterleitungen, dns-einträge nun auf xxx.xxx.xxx.142 umsetzen.

Doch damit funktionieren alle unsere angebotenen dienste (http, ssh) nicht mehr obwohl jetzt nur mehr eine IP-Adresse für alles Dienste verwendet werden.

setze ich jetzt aber das Interface auf 141, dann funktionieren alle Regeln mit 142.... ???????

Anscheinend müssen alle ACL-Regeln unterschiedliche IPs betreffen als das Outside Interface.

Ich hab schon alles durchgecheckt, aber find nichts in der Konfig, was dieses Verhalten auslöst. Im ASDM gibts so nen *TRÖT*trace, hab ich probiert, und da schreibt er, dass die ACL - Deny any das Paket blockiert. Aber die zieht doch nur wenn keine Permit Regel auf ein betreffendes Paket passt, was ja bei mir nicht der fall ist.

Wäre super wenn mir da ein PIX-Spezialist helfen könnte. DAS WURMT MICH SO!

(sigkilled v1.9 (Sat Oct 25 21:10:08 2008): http://ballistikow.de/wp-content/uploads/2007/11/wacken-skull.jpg zu groß - 20548 bytes)

config im mcseboard oder ciscoboard posten, da werden sie geholfen
_________________________________________________________________
Na Server's heast...

werd ich wohl müssen

ich halte do sooo viel von den Geizhälsen

(sigkilled v1.9 (Sat Oct 25 21:10:08 2008): http://ballistikow.de/wp-content/uploads/2007/11/wacken-skull.jpg zu groß - 20548 bytes)

die haben sich schon längst ne ASA gekauft und administrieren die via SDM :D
_________________________________________________________________
Na Server's heast...

diese banausen. blödes klicki-punkti

(sigkilled v1.9 (Sat Oct 25 21:10:08 2008): http://ballistikow.de/wp-content/uploads/2007/11/wacken-skull.jpg zu groß - 20548 bytes)

meine meinung!

Hi!

Blöde Frage, aber warum machst Du nicht einfach ein NAT vom Mailserver (intern 192.168.0.111) auf die externe xxx.xxx.xxx.141

name [interne_IP_mailserver] mailserver
static (inside, outside) xxx.xxx.xxx.141 mailserver netmask 255.255.255.255
access-list acl_outside extended permit tcp any host xxx.xxx.xxx.141 eq smtp
access-group acl_outside in interface [name_if_external]

Oder hab ich da was falsch verstanden?

greetz

glockman

- I don't need any sex. Life screws me every day... -

It's a Thing...

You wouldn't understand.

naja genau so hab ichs, jedoch hat das Outgoing Interface 142 als IP, dh eine Mail kommt bei uns immer von 142. Der DNS Eintrag unserer Domain geht jedoch auch 141.

(sigkilled v1.9 (Sat Oct 25 21:10:08 2008): http://ballistikow.de/wp-content/uploads/2007/11/wacken-skull.jpg zu groß - 20548 bytes)

Da stimmt dann aber an der globalen NAT-Konfig schon was nicht, ich hab das bei uns ebenfalls so drin und meine Mails kommen nicht von der Interface IP sondern der geNATteten.

Was sagt denn ein "show nat"? Da muss Dein Mailserver als "static translation to xxx.xxx.xxx.141" aufscheinen und darf NICHT aus dem Pool stammen.

EDIT:
Jetzt les ich das Anfangsposting nochmal... "Portweiterleitung", machst Du jetzt nur ein PAT oder doch NAT?

greetz

glockman

- I don't need any sex. Life screws me every day... -

It's a Thing...

You wouldn't understand.

19.06.2008, 18:22 Uhr - Editiert von Glockman, alte Version: hier

Folgende Config ist Running.

interface Ethernet0
speed 10
duplex full
nameif outside
security-level 0
ip address xxx.xxx.xxx.142 255.255.255.240

static (DMZ,outside) tcp xxx.xxx.xxx.141 smtp 192.168.2.3 smtp netmask 255.255.255.255 tcp 1000 1000

access-list incoming extended permit tcp any host xxx.xxx.xxx.141 eq smtp

access-list DMZ extended permit tcp 192.168.2.0 255.255.255.0 any eq smtp

access-group incoming in interface outside

Wenn wir nun aber alle xxx.xxx.xxx.141er Regeln durch die tatsächliche externe IP-Adresse des outside-Interfaces (xxx.xxx.xxx.142) ersetzen, werden die ankommenden Pakete gedropped.

(sigkilled v1.9 (Sat Oct 25 21:10:08 2008): http://ballistikow.de/wp-content/uploads/2007/11/wacken-skull.jpg zu groß - 20548 bytes)

Ich kann mir nicht helfen, da hat's was...

Warum machst Du ein explizites PAT, wenn Du nachher in der ACL sowieso nur TCP/25 erlaubst?

Einfach ein

static (DMZ,outside) xxx.xxx.xxx.141 192.168.2.3 netmask 255.255.255.255 tcp 1000 1000

reicht auch und ist nicht weniger sicher.

Hast Du auch "global" und "nat" Statements in der Konfig? Was machst Du eigentlich mit den anderen Adressen, die Du noch hast? Sind die in einem dynamischen Pool drin?

greetz

glockman

- I don't need any sex. Life screws me every day... -

It's a Thing...

You wouldn't understand.

Geschafft! es war das "global"-Statement !! DANKE dort war "interface" eingetragen. Haben jetzt xx..141 eingetragen. jetzt pfunziwunzifunztatatuts !!

Ich frage mich aber trotzdem, wieso es nicht möglich ist, eine einzige IP-Adresse für jegliche Anwendung zu verwenden. Somit wird die reale IP-Adresse 142 quasi nutzlos. ist mir ein Rätsel.

(sigkilled v1.9 (Sat Oct 25 21:10:08 2008): http://ballistikow.de/wp-content/uploads/2007/11/wacken-skull.jpg zu groß - 20548 bytes)

20.06.2008, 12:42 Uhr - Editiert von Amorphis, alte Version: hier

Na bitte, geht doch

Du hast jetzt nur das "Problem", dass alles mit der .141 rausgeht... wird wahrscheinlich egal sein, aber ich wollte es erwähnt haben.

Ich frage mich aber trotzdem, wieso es nicht möglich ist, eine einzige IP-Adresse für jegliche Anwendung zu verwenden.

Muss gestehen, da verstehe ich nicht ganz, was Du meinst.

greetz

glockman

- I don't need any sex. Life screws me every day... -

It's a Thing...

You wouldn't understand.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung