только вчера получил пикс 515Е
доступ через консольный порт без проблем
решил все сделать как по книге
прошел через setup
сделал следующее:
pix# sh telnet
192.168.0.0 255.255.255.0 inside
192.168.0.0 255.255.255.0 intf2
pix# sh http
http server enabled
192.168.0.0 255.255.255.0 inside
pix# sh ssh
192.168.0.0 255.255.255.0 inside
192.168.0.0 255.255.255.0 intf2
pix#пробую
https://ip_of_pix
говорит что или проблема с сеткой или проблема с серваком или он down или еще что-то........
если http:/ip_of_pix то требует авторизации
порывшись в форумах я нашел default username: pixadmin, pixuser
с паролем от telnet, т.е. если сделать clear passwd, то пароль будет:cisco
но непускает под всеми конбинациями вышеприведннного
пытался вводить тоже самое (pixadmin, pixuser, pix)[madcat@spelio:/usr/home/madcat]>telnet 192.168.0.95
Trying 192.168.0.95...
Connected to 192.168.0.95.
Escape character is '^]'.Login:
пытался ssh -l pix 192.168.0.95
Secure connection to 192.168.0.95 refused.
[madcat@spelio:/usr/home/madcat]>подкажите что можно сделать ?
доступ с консоли это конешно хорошо, но это не панацея ;(pix# sh ver
Cisco PIX Firewall Version 6.1(4)
Cisco PIX Device Manager Version 1.1(2)Compiled on Tue 21-May-02 08:40 by morlee
pix up 1 hour 15 mins
Hardware: PIX-515E, 32 MB RAM, CPU Pentium II 433 MHz
Flash E28F128J3 @ 0x300, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB0: ethernet0: address is 000b.bef7.5337, irq 10
1: ethernet1: address is 000b.bef7.5338, irq 11
2: ethernet2: address is 0002.b3b6.d1d8, irq 5Licensed Features:
Failover: Disabled
VPN-DES: Enabled
VPN-3DES: Disabled
Maximum Interfaces: 3
Cut-through Proxy: Enabled
Guards: Enabled
Websense: Enabled
pix# wr term
Building configuration...
: Saved
:
PIX Version 6.1(4)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pix
domain-name gsm900.net
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol sip 5060
fixup protocol skinny 2000
names
pager lines 24
interface ethernet0 auto shutdown
interface ethernet1 auto
interface ethernet2 auto shutdown
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside 127.0.0.1 255.255.255.255
ip address inside 192.168.0.95 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
http server enable
http 192.168.0.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traptelnet 192.168.0.0 255.255.255.0 inside
telnet 192.168.0.0 255.255.255.0 intf2
telnet timeout 5
ssh 192.168.0.0 255.255.255.0 inside
ssh 192.168.0.0 255.255.255.0 intf2
ssh timeout 5
terminal width 80
Cryptochecksum:cb2a399335404a9b8165f3932e8781bb
: end
[OK]
pix#floodguard enable
no sysopt route dnat
интерфейс пингуется?
>интерфейс пингуется?
на пиксе поднят только inside - он пингуетсяpix# sh int 1
interface ethernet1 "inside" is up, line protocol is up
Hardware is i82559 ethernet, address is 000b.bef7.5338
IP address 192.168.0.95, subnet mask 255.255.255.0
MTU 1500 bytes, BW 100000 Kbit full duplex
2659 packets input, 248086 bytes, 0 no buffer
Received 2660 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
4 packets output, 240 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collisions, 0 deferred
0 lost carrier, 0 no carrier
input queue (curr/max blocks): hardware (128/128) software (0/2)
output queue (curr/max blocks): hardware (0/1) software (0/1)
pix#[madcat@spelio:/usr/home/madcat]>ping 192.168.0.95
PING 192.168.0.95 (192.168.0.95): 56 data bytes
64 bytes from 192.168.0.95: icmp_seq=0 ttl=30 time=1.428 ms
64 bytes from 192.168.0.95: icmp_seq=1 ttl=30 time=1.235 ms
^C
--- 192.168.0.95 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 1.235/1.332/1.428/0.096 ms
[madcat@spelio:/usr/home/madcat]>
телнет на пикс работает?
с какого адресы вы пытаетесь зайти?
>телнет на пикс работает?
>с какого адресы вы пытаетесь зайти?[madcat@spelio:/usr/home/madcat]>ifconfig rl0
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.0.101 netmask 0xfffffc00 broadcast 192.168.3.255
ether 00:00:21:eb:cb:72
media: autoselect (100baseTX <full-duplex>) status: active
supported media: autoselect 100baseTX <full-duplex> 100baseTX 10baseT/UTP <full-duplex> 10baseT/UTP 100baseTX <hw-loopback>[madcat@spelio:/usr/home/madcat]>telnet 192.168.0.95
Trying 192.168.0.95...
Connected to 192.168.0.95.
Escape character is '^]'.Login:
если в качестве логина указать pix
а пароль - телетовский пароль?
>если в качестве логина указать pix
>а пароль - телетовский пароль?pix# enable password test1
pix# passwd test0
pix# sh passwd
passwd rJJJVml.neAflZcU encrypted
pix# sh enable passwd
enable password TRPEas6f/aa6JSPL encrypted
pix#[madcat@spelio:/usr/home/madcat]>telnet 192.168.0.95
Trying 192.168.0.95...
Connected to 192.168.0.95.
Escape character is '^]'.Login: pix
Password: [test0]
Incorrect password.
Login: pix
Password: [test1]
Incorrect password.надо заказывать у начальства шаманский бубен ;)
а насчет того что pix не пускает по https а пускает по http есть идеи ?
ключи сгенерил?
>ключи сгенерил?
ключи не генерил
imho, даже без генерации ключей пикс должен меня пустить по 443
или я не прав ?[madcat@spelio:/usr/home/madcat]>telnet 192.168.0.95 443
Trying 192.168.0.95...
telnet: connect to address 192.168.0.95: Connection refused
telnet: Unable to connect to remote host
[madcat@spelio:/usr/home/madcat]>и
[madcat@spelio:/usr/home/madcat]>telnet 192.168.0.95 80
Trying 192.168.0.95...
Connected to 192.168.0.95.
Escape character is '^]'.
^]
telnet> Connection closed.
[madcat@spelio:/usr/home/madcat]>
не прав...conf t
ca generate rsa key 1024
ca save all
>не прав...
>
>conf t
>ca generate rsa key 1024
>ca save allсгенерил - записал - тот-же вид тока в профиль ;(
(или проблема с сеткой или сервер в дауне, etc..)
проверь почту..надо ещё сказать
pdm location 192.168.0.0 255.255.255.0 inside
>>говорит что или проблема с сеткой или проблема с серваком или он>nameif ethernet0 outside security0
>nameif ethernet1 inside security100
>nameif ethernet2 intf2 security10>interface ethernet0 auto shutdown
>interface ethernet1 auto
>interface ethernet2 auto shutdown>ip address outside 127.0.0.1 255.255.255.255
>ip address inside 192.168.0.95 255.255.255.0
>ip address intf2 127.0.0.1 255.255.255.255>telnet 192.168.0.0 255.255.255.0 intf2
>telnet timeout 5>ssh 192.168.0.0 255.255.255.0 inside
>ssh 192.168.0.0 255.255.255.0 intf2
>ssh timeout 5
>terminal width 80внимательно просмотрите то что осталось... и обратитие внимание, что Ethernet1 это inside, а вы телнет открываете на intf2
>внимательно просмотрите то что осталось... и обратитие внимание, что Ethernet1 это inside,
>а вы телнет открываете на intf2сли открывать сессию telnet на том интерфейсе на котором недозволено, даже не увижу Login: в лучшем случае timeout
хвост эзернетовский только один, и именно в нужном интерфейсе
>>внимательно просмотрите то что осталось... и обратитие внимание, что Ethernet1 это inside,
>>а вы телнет открываете на intf2
>
>сли открывать сессию telnet на том интерфейсе на котором недозволено, даже не
>увижу Login: в лучшем случае timeout
>хвост эзернетовский только один, и именно в нужном интерфейсе
A route таблица на PIXe какая ?
>>>внимательно просмотрите то что осталось... и обратитие внимание, что Ethernet1 это inside,
>>>а вы телнет открываете на intf2
>>
>>сли открывать сессию telnet на том интерфейсе на котором недозволено, даже не
>>увижу Login: в лучшем случае timeout
>>хвост эзернетовский только один, и именно в нужном интерфейсе
>
>
>A route таблица на PIXe какая ?
пик пингуется
в одной подсети с той машиной с которой на пиксу лезу
>>>>внимательно просмотрите то что осталось... и обратитие внимание, что Ethernet1 это inside,
>>>>а вы телнет открываете на intf2
>>>
>>>сли открывать сессию telnet на том интерфейсе на котором недозволено, даже не
>>>увижу Login: в лучшем случае timeout
>>>хвост эзернетовский только один, и именно в нужном интерфейсе
>>
>>
>>A route таблица на PIXe какая ?
>пик пингуется
>в одной подсети с той машиной с которой на пиксу лезу:)
Должно работать.
Посмотри что выдает:
show ca mypubkey rsaА также что записано в логах (остаь их поразгоорчевее педварительно)
conf t
logginig console 7
exit
deb sshдальше... чего показывает debug ssh при ssh подключении...