Oprettet tor. d. 18. september 2008 kl. 09:25:22

30 point uddelt | 11 kommentarer
_et
_et (7.453 point. Point ude: 310)

Pix 501 - SSH til intern pc samtidig med Pix SSH admin

Jeg skal have mulighed for at lave en ssh forbindelse til en intern linux maskine, uden af fjerne muligheden for extern administration af pix via ssh.

Jeg havde tænkt at gøre det ved at lave linux forbindelsen via externip:1 og så forwarde den til linuxip:22 men det virker ikke efter hensigten.

Her er uddrag min access-list og static
access-list Outside-In line 11 permit tcp any any eq 1 (hitcnt=0)
static (inside,outside) tcp interface 1 192.168.1.2 ssh netmask 255.255.255.255 0 0

Kan det gøres på den måde - Er der fejl i opsætning eller er der en bædre måde
Anmeld misbrug
Skriv et svar | Skriv en kommentar

Skrevet tor. d. 18. september 2008 kl. 09:46:36| #1

rubeck
rubeck (20.486 point)
Det bliver nok svært med mindre du ikke har flere yderside adresser..

Hvis du har skal du lave din static om til:
static (inside,outside) tcp <yderside IP> ssh 192.168.1.2 ssh netmask 255.255.255.255 0 0

Hvis ikke må du flytte din SSH connection fra outside til anden port.. feks vha:
static (inside,outside) tcp interface 3888 192.168.1.2 22 netmask 255.255.255.255

/Rubeck
Anmeld misbrug
Skriv et svar | Skriv en kommentar

Skrevet tor. d. 18. september 2008 kl. 09:47:01| #2

rubeck
rubeck (20.486 point)
Det bliver nok svært med mindre du ikke har flere yderside adresser..  = Det bliver nok svært med mindre du HAR flere yderside adresser..  :-)
Anmeld misbrug
Skriv et svar | Skriv en kommentar

Skrevet tor. d. 18. september 2008 kl. 09:58:01| #3

_et
_et (7.453 point)
Kan det ikke lade sig gøre at tage trafikken på outside interface port 1 og så flytte den til inside interface port 22 og så kontakte serveren via en ssh forbindelse på outside interface port 1 og pix på den normale outside interface port 22?
Anmeld misbrug
Skriv et svar | Skriv en kommentar

Skrevet tor. d. 18. september 2008 kl. 10:23:54| #4

_et
_et (7.453 point)
ved lige at gennemlæse igen så opdager jeg, at jeg gør det du foreslår.
Men det systes ikke at virke. Kan jeg debugge til en ssh terminal og isåfald hvordan slåes det til
Anmeld misbrug
Skriv et svar | Skriv en kommentar

Skrevet tor. d. 18. september 2008 kl. 10:30:07| #5

rubeck
rubeck (20.486 point)
Kan du ikke paste din config?

/Rubeck
Anmeld misbrug
Skriv et svar | Skriv en kommentar

Skrevet tor. d. 18. september 2008 kl. 10:40:49| #6

_et
_et (7.453 point)
yes:
roskvist-wall(config)# wr ter
Building configuration...
: Saved
:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
..
hostname roskvist-wall
domain-name lan.roskvist.local
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol pptp 1723
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
fixup protocol tftp 172
fixup protocol tftp 1723
names
name 192.168.1.30 vista
name 192.168.1.32 mobil
name 192.168.1.253 wifi
name 192.168.1.252 printer
name 192.168.1.251 pix
name 90.185.31.155 public1
access-list Outside-In permit tcp any any eq smtp log 7
access-list Outside-In permit tcp any any eq www log 7
access-list Outside-In permit gre host 130.225.184.43 host 192.168.1.14
access-list Outside-In permit tcp any any eq https log 7
access-list Outside-In deny gre any any
access-list Outside-In permit tcp any any eq 3389
access-list Outside-In permit tcp host 130.225.184.43 any eq pptp log 7
access-list Outside-In permit udp any any eq 52404 log 7
access-list Outside-In permit tcp any any eq 52408 log 7
access-list Outside-In permit tcp any any eq 1
pager lines 100
logging on
logging console debugging
logging monitor debugging
logging trap notifications
logging facility 23
logging device-id hostname
logging host inside 192.168.1.240
logging host inside vista
no logging message 106001
no logging message 304001
icmp deny any outside
icmp permit any inside
mtu outside 1500
mtu inside 1500
ip address outside dhcp setroute
ip address inside pix 255.255.255.0
ip verify reverse-path interface outside
ip audit info action alarm
ip audit attack action alarm
pdm location 192.168.1.0 255.255.255.255 inside
pdm location 192.168.1.240 255.255.255.255 inside
pdm logging debugging 100
pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) tcp interface 1 192.168.1.2 ssh netmask 255.255.255.255 0 0
static (inside,outside) tcp interface https 192.168.1.2 https netmask 255.255.255.255 0 0
static (inside,outside) tcp interface www 192.168.1.2 www netmask 255.255.255.255 0 0
static (inside,outside) tcp interface ftp 192.168.1.2 ftp netmask 255.255.255.255 0 0
access-group Outside-In in interface outside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
url-cache dst 128KB
http server enable
http 192.168.1.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.255 inside
http vista 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps
floodguard enable
telnet 192.168.1.240 255.255.255.255 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 outside
ssh 192.168.1.0 255.255.255.0 inside
ssh timeout 60
management-access outside
console timeout 0
dhcpd address 192.168.1.2-192.168.1.33 inside
dhcpd dns 195.184.96.2
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd domain roskvist.local
dhcpd enable inside
...
url-block url-mempool 2
url-block url-size 2
url-block block 1
terminal width 120
....
: end
[OK]
Anmeld misbrug
Skriv et svar | Skriv en kommentar

Skrevet tor. d. 18. september 2008 kl. 10:45:09| #7

rubeck
rubeck (20.486 point)
Prøv lige at paste flg ind:

no access-list Outside-In permit tcp any any eq 1
no static (inside,outside) tcp interface 1 192.168.1.2 ssh netmask 255.255.255.255 0 0
static (inside,outside) tcp interface 3888 192.168.1.2 22 netmask 255.255.255.255
access-list Outside-In permit tcp any any eq 3888

Prøv så at SSH fra outside imod PIX yderside IP på port 3888...

/Rubeck
Anmeld misbrug
Skriv et svar | Skriv en kommentar

Skrevet tor. d. 18. september 2008 kl. 11:14:05| #8

_et
_et (7.453 point)
Det virker tilsyneladende ikke.

Men jeg bliver lige nød til at chekke at ssh serveren kører på linux boksen, men det kan jeg først gøre når jeg kommer hjem. Jeg vender lige tilbage senere
Anmeld misbrug
Skriv et svar | Skriv en kommentar

Skrevet fre. d. 19. september 2008 kl. 18:42:08| #9

langbein
langbein (47.642 point)
Men det skal da være helt like til. Pix er gateway og Linux er innefor ? Så forwarder man port 22 (eller en annen port) til Linux boksen og logger på denne.

Fra shell inne på Linux så taster man "ssh <ip>" og så bør vel Linux boksen gå over til å være klient for Pix pålogg.

Dette går da med to Linux bokser. Vet ikke om det er noe spesielt med Pix eller om jeg har missforstått opplegget slik at det ikke går.

Hvis det ellers er likt med Linux så kan man også la den utvendige boksen, gateway ha pålogg på port 22, og så kan man for eksempel forwarde for esksempel utvendig port 222 til invendig boks ip port 22.

Vet ikke om det er noe ved oppsettet som jeg ikke har forstått ..
Anmeld misbrug
Skriv et svar | Skriv en kommentar

Skrevet søn. d. 21. september 2008 kl. 11:43:57| #10

_et
_et (7.453 point)
det virker!
Jeg ved ikke lige hvorfor jeg ikke kunne forbinde fra skolen. Evt deres firewall??

Men det virker når jeg prøver inde fra naboen, så der er intet problem.

Jeg takker for hjælpen og venter et svar :-)
Anmeld misbrug
Skriv et svar | Skriv en kommentar

Skrevet søn. d. 21. september 2008 kl. 15:09:19| #11

Accepteret svar!30 point tildelt
rubeck
rubeck (20.486 point)
Godt a høre det spiller :-)

Mvh
Rubeck
Anmeld misbrug
Skriv et svar | Skriv en kommentar

Skriv et indlæg




Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] [img]link til billede[/img]
Web- og emailadresser omdannes automatisk til links
Se preview
Opret

Log ind

   
Opret bruger | Glemt adgangskode
   

Seneste spørgsmål

Outside -> In vpn virker ikke

Oprettet den 13. januar 2010 kl. 13.16
_et giver 60 point for svar | Giv et svar »

2 hardware firewalls

Oprettet den 1. december 2009 kl. 16.30
thomasso giver 200 point for svar | Giv et svar »

ASA 5505

Oprettet den 21. oktober 2009 kl. 20.42
solle giver 200 point for svar | Giv et svar »

Seneste guides

100% højde med CSS i alle browsere
14. juli 2010 kl. 11.31 | Læs »
Blogserie om MVVM pattern i C#/WPF til brug i...
8. juli 2010 kl. 08.36 | Læs »
XML
7. juli 2010 kl. 13.02 | Læs »
C++ Historie og Programmering - Del 1
2. juli 2010 kl. 23.38 | Læs »
Autocad / 3D Max / Revit til Salg.
24. juni 2010 kl. 10.24 | Læs »

Seneste nyheder

Test din viden med Computerworlds store sommerquiz
30. juli 2010 kl. 15.59 | Læs »
Viruskamp hos Mærsk: "Vores folk har brug for ro"
30. juli 2010 kl. 15.40 | Læs »
Video: Ugen der gik
30. juli 2010 kl. 15.20 | Læs »
Windows-udviklere lukker under halvdelen af sikkerhedshuller
30. juli 2010 kl. 13.30 | Læs »
Har du husket at kramme din systemadministrator i dag?
30. juli 2010 kl. 09.00 | Læs »

Tips & Tricks fra PC World

Teaser billede

Sådan får du mest ud af batteriet på din bærbare

Batterierne i den bærbare lever sjældent op til forventningerne, men det er ikke altid batteriernes skyld. Se her hvordan du får mest muligt ud af dine batterier.

Læs mere »

Anmeldelser fra PC World

Teaser billede

GTX460: Grafikkort med fin ydelse til rimelige penge

De store grafikkort løber med opmærksomheden, men det er i mellemklassen at de gode køb findes. Et af dem er det helt nye Nvidia GTX460. Se kortets resultater her.

Læs mere »

Seneste blogindlæg

Teaser billede

Nu kan du slettes

Det sker af og til at en bruger ønsker at slette sin profil her på Eksperten. Det har vi haft svært ved, men nu kan du gøre det nemt og enkelt. Alt du skal gøre er at logge ind, gå ind på...

Læs mere »

Nyheder fra PC World

Teaser billede

Test: Stream nye spil til gamle computere

Det er slut med at investere tusindvis af kroner i dyr hardware for at kunne spille de nyeste spil - amerikansk firma lader stor serverfarm klare arbejdet og streamer spillene til dig via nettet....

Læs mere »

Nyheder fra Computerworld

Teaser billede

Test din viden med Computerworlds store sommerquiz

4. del: Brug agurketiden til at få opdateret din viden om it-branchen, og test for sjov om kollegerne på ferie eller derhjemme er lige så skarpe. Computerworld quizzer hver uge hele sommeren.

Læs mere »

Kurser
Excel grundlæggende
Excel 2007 grundlæggende
Præsentationsteknik
Microsoft Active Directory grundlæggende 2003
Windows 7 - For IT-pro´er
Office 2010 - Hvad er der nyt?
Office 2007 - What´ new
Access grundlæggende
Exchange Server
Intensiv Excel 2003 Grundlæggende
Alle kurser »

Samarbejdspartnere
Ferienhäuser in Dänemark.
Webhotel
Sammenlign priser på Windows 7 og LED TV
Digital TV fra Viasat
VM fodbold
Udgiver · © 2010 IDG Danmark A/S · Hørkær 18 · 2730 Herlev · Tlf.: 77 300 300 · Fax: 77 300 301