Cisco Pix 501: Portfreigabe & ACL

Portfreigabe auf einer Pix einrichten:

Die Einrichtung einer einfachen Portfreigabe ist gar nicht so einfach wie man im ersten Moment vermuten mag.

Ich empfehle hier die Kommandozeile zu benutzen, da PDM grad bei statischen Routen und ACL’s häufig mist baut.

Lets start:

  1. Per Hyperterminal mit der Pix verbinden
  2. in enable Modus wechseln
  3. per conf t in Konfigurationsmodus wechseln
  4. Zunächst muss eine statische Route definiert werden: “static (inside, outside) <tcp/udp> <outside-ip-der-Pix> <gewünschter Port> <Ziel-Host-im-Inside-Interface> <gewünschter Port> netmask 255.255.255.255 0 0”
  5. Anschließend definiert man nun die ACL damit der Traffic auf dem entsprechenden Port auch durchgelassen wird: “access-list <acl-name> permit <tcp/udp> any host <outside-ip-der-Pix> eq <gewünschter Port>”
  6. Dann muss die ACL noch einer Access-Group zugeordnet werden: “access-group <acl-name> in interface outside”
  7. “wr mem” nicht vergessen 🙂

Its done!

Cisco Pix 501: Grundlagen ACL’s & Dhcp

Access Control List (ACL):

  • ACL=Firewallregel
  • Abarbeitung von oben nach unten bis ein
    passender Eintrag gefunden wird
  • Eine ACL wird mit „access-group“ einer
    Schnittstelle zugeordnet

Aufbau einer ACL:

access-list <name|nr> permit|deny
<protocol> <source> <destination>
[<parameter>]

Beispiel:

access-list 3 permit icmp any any echo-reply
access-list 7 permit tcp any any eq 22

Access-Group:

access-group <name|nr> in interface
<if-name>

Beispiel ACL’s:

access-list zentral permit icmp any any echo-reply
access-list zentral permit icmp any any unreachable
access-list zentral permit icmp any any time-exceeded
access-list zentral permit tcp host 192.189.51.100 62.199.66.16
255.255.255.240 eq 22
access-list zentral permit udp any host 62.199.66.23 eq 53
access-list zentral permit tcp any host 62.199.66.23 eq 53
access-list zentral permit tcp any host 62.199.66.24 eq 25
access-list zentral permit tcp any host 62.199.66.25 eq 80
access-group zentral in interface outside
Pix als Dhcp Server:
• dhcpd address <first>-<last> <if>
• dhcpd domain <dns-domain>
• dhcpd dns <dnsserverip1> [<ip2>]
• dhcpd wins <winserverip1> [<ip2>]
• dhcpd lease <lease-time>
• dhcpd enable <if>