есть схема:пров .127.130 -> .127.129 [1760] .150.1 -> .150.2 [PIX 506] -> 192.168.5.0/24
1760 выполняет минимальную фильтрацию, и можно считать что тупо роутит из .150.0/27 во внешний мир и обратно.
У PIX-а есть следующее:global (outside) 1 х.х.150.3-х.х.150.30
nat (inside) 1 192.168.5.0 255.255.255.0 0 0
static (inside,outside) х.х.150.4 192.168.5.23 netmask 255.255.255.255 0 0Подразумевая что диапазон 3-30 будет использоваться исключительно для ната - никаких входящих соединений. Впрочем на входящем интерфейсе висело permit ip any 150.0/27.
Привязка static существовала на единственную машинку. И тем не менее чисто случайно обнаружилось что на другие внутренние машины проходят пакеты снаружи. Пакеты проходят в частые моменты поточного сканирования снаружи, будучи оттранслированными pix-ом из внешнего адреса во внутренний, что видно по его логам.В качестве workaround-а в global был оставлен всего один ip - переключился на PAT.
Однако кто-нибудь может мне объяснить почему это происходило раньше, и почему pix до сих пор считает что 150.0/27 находится в его распоряжении, ругаясь в логах на попытки обращения снаружи "Deny inbound (no xlate)"? При том что 150.0/27 в данный момент упоминается в конфиге только как подсеть его внешнего адреса?
PS: reload не делал, clear xlate делал, из внешнего-входящего acl все кроме icmp убрал. 8)
весь конфиг пикса покажите
только ип не вырезайте, это сильно дезориентирует
ну или на мыло khj1@mail.ru
>весь конфиг пикса покажите: Saved
:
PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
clock timezone MSK/MSD 3
clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
access-list ext-eth0-in permit ip any 202.247.150.0 255.255.255.224
> в данный момент тут разрешено только icmp
access-list int-eth1-in permit ip any any
pager lines 40
logging on
logging buffered debugging
logging trap warnings
logging host inside 192.168.5.21
interface ethernet0 10baset
interface ethernet1 10baset
mtu outside 1500
mtu inside 1500
ip address outside 202.247.150.2 255.255.255.224
ip address inside 192.168.5.254 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
no pdm history enable
arp timeout 14400
global (outside) 1 202.247.150.3-202.247.150.30
> в данный момент это выглядит как
> global (outside) 1 202.247.150.3
nat (inside) 1 192.168.5.0 255.255.255.0 0 0
static (inside,outside) 202.247.150.4 192.168.5.23 netmask 255.255.255.255 0 0
> сейчас этой строчки нет
access-group ext-eth0-in in interface outside
access-group int-eth1-in in interface inside
route outside 0.0.0.0 0.0.0.0 202.247.150.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt route dnat
> кто-нибудь может объяснить нормально эту строчку? Моего аглицкого не хватает на это: http://www.cisco.com/en/US/products/sw/netmgtsw/ps2032/produ... . 8)
telnet 62.16.101.101 255.255.255.255 outside
telnet 192.168.5.19 255.255.255.255 inside
telnet 192.168.5.21 255.255.255.255 inside
telnet timeout 5
ssh timeout 5
terminal width 80
: end
>>весь конфиг пикса покажите
>
>: Saved
>:
>PIX Version 6.2(2)
>nameif ethernet0 outside security0
>nameif ethernet1 inside security100
>clock timezone MSK/MSD 3
>clock summer-time MSK/MDD recurring last Sun Mar 2:00 last Sun Oct 3:00
>
>fixup protocol ftp 21
>fixup protocol http 80
>fixup protocol h323 h225 1720
>fixup protocol h323 ras 1718-1719
>fixup protocol ils 389
>fixup protocol rsh 514
>fixup protocol rtsp 554
>fixup protocol smtp 25
>fixup protocol sqlnet 1521
>fixup protocol sip 5060
>fixup protocol skinny 2000
>names
>access-list ext-eth0-in permit ip any 202.247.150.0 255.255.255.224
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
а зачем вы написали ТАКОЙ ACL?
этим вы разрешаете коннект снаружи и на адрес, который используется в НАТ-е
если коннект снаружи не нужен (т.е. нет у вас внутри днс, почтового сервера и тд - вообще ACL можно не ставить)
>> в данный момент тут разрешено только icmp
>access-list int-eth1-in permit ip any any
>pager lines 40
>logging on
>logging buffered debugging
>logging trap warnings
>logging host inside 192.168.5.21
>interface ethernet0 10baset
>interface ethernet1 10baset
>mtu outside 1500
>mtu inside 1500
>ip address outside 202.247.150.2 255.255.255.224
>ip address inside 192.168.5.254 255.255.255.0
>ip audit info action alarm
>ip audit attack action alarm
>no pdm history enable
>arp timeout 14400
>global (outside) 1 202.247.150.3-202.247.150.30
>> в данный момент это выглядит как
>> global (outside) 1 202.247.150.3
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
укажите все таки так на всякий случай:
global (outside) 1 202.247.150.3 netmask ваша_маска>nat (inside) 1 192.168.5.0 255.255.255.0 0 0
>static (inside,outside) 202.247.150.4 192.168.5.23 netmask 255.255.255.255 0 0
>> сейчас этой строчки нет
>access-group ext-eth0-in in interface outside
>access-group int-eth1-in in interface inside
>route outside 0.0.0.0 0.0.0.0 202.247.150.1 1
>timeout xlate 3:00:00
>timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip
>0:30:00 sip_media 0:02:00
>timeout uauth 0:05:00 absolute
>aaa-server TACACS+ protocol tacacs+
>aaa-server RADIUS protocol radius
>aaa-server LOCAL protocol local
>no snmp-server location
>no snmp-server contact
>snmp-server community public
>no snmp-server enable traps
>floodguard enable
>sysopt route dnat
^^^^^^^^^^^^^^^^^^^^^^^
выключите это>> кто-нибудь может объяснить нормально эту строчку? Моего аглицкого не хватает на это: http://www.cisco.com/en/US/products/sw/netmgtsw/ps2032/produ... . 8)
>telnet 62.16.101.101 255.255.255.255 outside
>telnet 192.168.5.19 255.255.255.255 inside
>telnet 192.168.5.21 255.255.255.255 inside
>telnet timeout 5
>ssh timeout 5
>terminal width 80
>: end
>>>весь конфиг пикса покажите
>>
>>PIX Version 6.2(2)
>>nameif ethernet0 outside security0
>>nameif ethernet1 inside security100
>>names
>>access-list ext-eth0-in permit ip any 202.247.150.0 255.255.255.224
>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>а зачем вы написали ТАКОЙ ACL?
>этим вы разрешаете коннект снаружи и на адрес, который используется в НАТ-еЕго в данный момент уже нету. (см чуть ниже) Однако проблемы это не решило. А вообще за ним планировалась мыльница.
Осталось только icmp. В принципе, наверное и его временно оставлю только на сам пикс, для траблешутинга.>если коннект снаружи не нужен (т.е. нет у вас внутри днс, почтового
>сервера и тд - вообще ACL можно не ставить)
>
>>> в данный момент тут разрешено только icmp
>>access-list int-eth1-in permit ip any any
>>ip address outside 202.247.150.2 255.255.255.224
>>ip address inside 192.168.5.254 255.255.255.0
>>global (outside) 1 202.247.150.3-202.247.150.30
>>> в данный момент это выглядит как
>>> global (outside) 1 202.247.150.3
>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
>укажите все таки так на всякий случай:
>global (outside) 1 202.247.150.3 netmask ваша_маскаСделал. Однако sh run показывает то же самое.
>>access-group ext-eth0-in in interface outside
>>access-group int-eth1-in in interface inside
>>route outside 0.0.0.0 0.0.0.0 202.247.150.1 1
>>sysopt route dnat
>^^^^^^^^^^^^^^^^^^^^^^^
>выключите этоПосле двух телодвижений (этого и по маске), дало результат:
...
Host (202.247.150.9) appears to be down, skipping it.
Host (202.247.150.10) appears to be down, skipping it.
Host (202.247.150.11) appears to be down, skipping it.
...
Спасибо, все что нужно - получилось.
Остались теоретические вопросы:
С какого перепугу он вообще реагирует на чужие пакеты при отсутствии явно заданного маппинга?
Где-нибудь задается его поведение в такой ситуации? nmap говорил что у всех чужих адресов открыты но зафильтрованы порты 137-138-139/tcp. Это фича?
И чисто идеологический вопрос: PIX 2-х портовый. DMZ в чистом виде организовать не получится. Имеет смысл ставить Exchange внутри? Или все-таки пожертвовать им и выставить перед пиксом?
Я склоняюсь ко второму варианту ибо силу множества обстоятельств, поставить нормальный юниксовый mta не получится.
>Спасибо, все что нужно - получилось.
>Остались теоретические вопросы:
>С какого перепугу он вообще реагирует на чужие пакеты при отсутствии явно
>заданного маппинга?
-------------------------------------
я все-таки придерживаюсь мнения, что все из-за ACL-а
>Где-нибудь задается его поведение в такой ситуации? nmap говорил что у всех
>чужих адресов открыты но зафильтрованы порты 137-138-139/tcp. Это фича?
---------------------------------------
если вы сканируете тот адрес, через который все натятся, nmap должен говорить Host is down
>И чисто идеологический вопрос: PIX 2-х портовый. DMZ в чистом виде организовать
>не получится. Имеет смысл ставить Exchange внутри? Или все-таки пожертвовать им
>и выставить перед пиксом?
----------------------------------
зачем выставлять перед пиксом всеми портами, когда можно выставить его через статик только одним портом?я работаю в ОЧЕНЬ крупной корпорации, только в россии около 1100 человек и стандарт у нас - Exchange. Пока (уже лет 9 чтоли?), как бы его не ставили, никаких проблем не было, главное грамотное администрирование и своевременные апдейты.
>Я склоняюсь ко второму варианту ибо силу множества обстоятельств, поставить нормальный юниксовый
>mta не получится.
>>Где-нибудь задается его поведение в такой ситуации? nmap говорил что у всех
>>чужих адресов открыты но зафильтрованы порты 137-138-139/tcp. Это фича?
>---------------------------------------
>если вы сканируете тот адрес, через который все натятся, nmap должен говорить
>Host is downДа. Так и есть. А на все остальные, чужие адреса, говорилось то что я писал выше. Я так понимаю что это фича, но где бы еще посмотреть как ей можно рулить... 8)
>>И чисто идеологический вопрос: PIX 2-х портовый. DMZ в чистом виде организовать
>>не получится. Имеет смысл ставить Exchange внутри? Или все-таки пожертвовать им
>>и выставить перед пиксом?
>----------------------------------
>зачем выставлять перед пиксом всеми портами, когда можно выставить его через статик
>только одним портом?
>
>я работаю в ОЧЕНЬ крупной корпорации, только в россии около 1100 человек
>и стандарт у нас - Exchange. Пока (уже лет 9 чтоли?),
>как бы его не ставили, никаких проблем не было, главное грамотное
>администрирование и своевременные апдейты.
Моя компания на порядок поменьше, но exchange видимо судьба ставить.
Просто в случае пролома, атакующий оказывается во внутренней сети, чего сильно не хочется. А 100% гарантии неуязвимости я не дам при всем желании. 8)
ну тогда уж ip audit включите, раз он есть
>И чисто идеологический вопрос: PIX 2-х портовый. DMZ в чистом виде организовать
>не получится. Имеет смысл ставить Exchange внутри? Или все-таки пожертвовать им
>и выставить перед пиксом?
>Я склоняюсь ко второму варианту ибо силу множества обстоятельств, поставить нормальный юниксовый
>mta не получится.Ставить Exchange перед PIX не рекомендует сам Микрософт. Кстати, PIX из двухпортового превращается в трехпортовый обычной Intel'овской картой (там PCI 32-битный) за 25$... ;-)
>>И чисто идеологический вопрос: PIX 2-х портовый. DMZ в чистом виде организовать
>>не получится. Имеет смысл ставить Exchange внутри? Или все-таки пожертвовать им
>>и выставить перед пиксом?
>>Я склоняюсь ко второму варианту ибо силу множества обстоятельств, поставить нормальный юниксовый
>>mta не получится.
>
>Ставить Exchange перед PIX не рекомендует сам Микрософт. Кстати, PIX из двухпортового
>превращается в трехпортовый обычной Intel'овской картой (там PCI 32-битный) за 25$...
>;-)Хм. Красивая идея. 8)
А с иосом заморочек не получится? Он это съест?
1. интел выпускает моделей 9 "обычных интеловских карточек", какую именно вы имеете ввиду? :)
2. Как на это посмотрит циска, в случае выхода пикса из строя? :) Думаю что вы останетесь без гарантии
3. А как насчет ссылки, где майкрософт не рекомендует ставить exchange перед pix? :))
>1. интел выпускает моделей 9 "обычных интеловских карточек", какую именно вы имеете
>ввиду? :)Учитывая что писк 506-й, с 2-мя десятками, количество моделей заметно сокращается. Если будет время, вечером вскрою, посмотрю чипы. Это даст однозначный ответ.
>2. Как на это посмотрит циска, в случае выхода пикса из строя?
Эмм... Если там нормальная pci, не втыкать карточки на ходу, и не срывать дубовой отверткой шлицы на винтах, я думаю проблем быть не должно. ;-)
Мне больше интересно съест ли иос внеплановую карточку, на аналогичном чипе.>:) Думаю что вы останетесь без гарантии
>3. А как насчет ссылки, где майкрософт не рекомендует ставить exchange перед
>pix? :))Чисто теоретически? Ведь пришли ведь к соглашению что действительно так. 8)
>>1. интел выпускает моделей 9 "обычных интеловских карточек", какую именно вы имеете
>>ввиду? :)
>
>Учитывая что писк 506-й, с 2-мя десятками, количество моделей заметно сокращается. Если
>будет время, вечером вскрою, посмотрю чипы. Это даст однозначный ответ.
>
>>2. Как на это посмотрит циска, в случае выхода пикса из строя?
>
>Эмм... Если там нормальная pci, не втыкать карточки на ходу, и не
>срывать дубовой отверткой шлицы на винтах, я думаю проблем быть не
>должно. ;-)
>Мне больше интересно съест ли иос внеплановую карточку, на аналогичном чипе.
судя по всему вы все-таки не поняли, о чем я спрашивал
>
>>:) Думаю что вы останетесь без гарантии
>>3. А как насчет ссылки, где майкрософт не рекомендует ставить exchange перед
>>pix? :))
>
>Чисто теоретически? Ведь пришли ведь к соглашению что действительно так. 8)
>1. интел выпускает моделей 9 "обычных интеловских карточек", какую именно вы имеете
>ввиду? :)
>2. Как на это посмотрит циска, в случае выхода пикса из строя?
>:) Думаю что вы останетесь без гарантии
>3. А как насчет ссылки, где майкрософт не рекомендует ставить exchange перед
>pix? :))1. Сейчас в соседней стойке в 515 PIXе стоит IBM 10/100 EtherJet PCI adapter FRU 86H2423 - сделано Intel, чипсет - S8255(7). Те цисковские карты, что я видел - аналогичные. Но есть и другие.
2. Ничего подобного. PIX (515/525) внутри - x86, там все стандартное. Я не предлагаю "заливать компаундом". ;-) Поддерживает или не поддерживает ОС - другой вопрос (см. 1). К тому же у карт обычно выходит из строя интерфейсная часть с физическим Ethernet, а не PCI.
3. Ну это было бы глупо с точки зрения маркетинга. Но такое мнение высказали тех. специалисты Микрософта в на совещании (г. Арлингтон) по поводу организации почтовой системы на 70 узлов на базе Exchange.Если есть любители экспериментов, поставьте без защиты W2K/SP1 (на SP3 уже не проходит) в Inet, прикрутите IDS (ну или хоть что-нибудь) и посмотрите что будет происходить... Самое интересное начнется уже на второй-третий день. Я результат знаю.
515 пикс intel pro 100+ management отлично работал, вот только для использования более 3 портов лицензия нужна (ключик) а он за денежку на циске даётся.... бесплатно они вообще, кажется, только VPN-DES ключ дают буржуи. так что сейчас стоит цисковская родная карта.