Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

[Basic]Pix 525 ver 7.2(2) Xin thầy Tuấn giúp đỡ ạ !

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    [Basic]Pix 525 ver 7.2(2) Xin thầy Tuấn giúp đỡ ạ !

    Em có làm bài lab mô hình đơn giản
    R()-------PIX-------PC

    Nhưng ko làm sao ping thông từ inside ra outside được !
    Xin thầy "chỉ điểm" giúp em !
    Cám ơn thầy !

    PIX Version 7.2(2)
    !
    hostname Pix
    enable password 8Ry2YjIyt7RRXU24 encrypted
    names
    !
    interface Ethernet0
    nameif outside
    security-level 0
    ip address 203.162.1.2 255.255.255.0
    !
    interface Ethernet1
    nameif inside
    security-level 100
    ip address 172.16.1.1 255.255.255.0
    !
    interface Ethernet2
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Ethernet3
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Ethernet4
    shutdown
    no nameif
    no security-level
    no ip address
    !
    passwd 2KFQnbNIdI.2KYOU encrypted
    ftp mode passive
    access-list outbound extended permit icmp host 172.16.1.2 203.162.1.0 255.255.25 5.0
    access-list inbound extended permit icmp any any
    pager lines 24
    mtu outside 1500
    mtu inside 1500
    icmp unreachable rate-limit 1 burst-size 1
    no asdm history enable
    arp timeout 14400
    global (outside) 1 203.162.1.10-203.162.1.254 netmask 255.255.255.0
    nat (inside) 1 0.0.0.0 172.16.1.2
    static (inside,outside) 203.162.1.1 172.16.1.2 netmask 255.255.255.255
    access-group inbound in interface outside
    access-group outbound out interface inside
    route outside 0.0.0.0 0.0.0.0 203.162.1.1 1
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout uauth 0:05:00 absolute
    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    telnet timeout 5
    ssh timeout 5
    console timeout 0
    !
    class-map inspection_default
    match default-inspection-traffic
    !
    !
    policy-map type inspect dns preset_dns_map
    parameters
    message-length maximum 512
    policy-map global_policy
    class inspection_default
    inspect dns preset_dns_map
    inspect ftp
    inspect h323 h225
    inspect h323 ras
    inspect netbios
    inspect rsh
    inspect rtsp
    inspect skinny
    inspect esmtp
    inspect sqlnet
    inspect sunrpc
    inspect tftp
    inspect sip
    inspect xdmcp
    !
    service-policy global_policy global
    prompt hostname context
    Cryptochecksum:9a6f92dca434d71896d090f2dda6a7cc
    : end
    Tags: None
  • #2
    Chào bạn,

    Bạn xem lại chỗ này

    global (outside) 1 203.162.1.10-203.162.1.254 netmask 255.255.255.0
    nat (inside) 1 0.0.0.0 172.16.1.2
    Bạn nên hiểu rõ chỗ này Nat(inside) dùng để chọn traffic cho việc NAT

    Ví dụ muốn cho mạng 172.16.1.0/24 được nat ra ngoài thì ta dùng các câu lệnh sau

    pix(config)# nat (inside) 1 172.16.1.0 255.255.255.0
    pix(config)# global (outside) 1 interface

    Từ trong ra ngoài, tức từ mức security level cao đi xuống level thấp thì không cần dùng ACL. Ngoại trừ bạn muốn cho phép duy nhất dịch vụ nào đó chạy.
    access-group outbound out interface inside (nên cái này không có cũng được)

    Cái cuối cùng là PC và router phải trỏ default-gateway về con Pix khi PC hoặc router muốn đi qua mạng khác (trường hợp muốn test cho nhanh)
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org    		 - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

    Comment

    • #3
      Rất cám ơn thầy đã hồi đáp, em xin được trao đổi tiếp như sau :

      Theo em tìm hiểu được thì 1 trong những chức năng của fw là che dấu địa chỉ mạng nội bộ !
      Còn câu lệnh
      global (outside) 1 203.162.1.10-203.162.1.254 netmask 255.255.255.0
      là dùng để định nghĩa dải ip mà inside dùng để tiếp xúc với mạng ngoài
      còn
      nat (inside) 1 0.0.0.0 172.16.1.2
      là để chỉ đích danh ip đc NAT

      Như vậy có đúng ko ạ ?

      Vậy nếu chỉ cần kiểm tra thông mạng bằng cách ping từ PC bên inside đến interface của R
      thì em cần config như thế nào ?
      Có cần ACL cho dữ liệu đi vào ở interface outside trên PIX không ?

      Và có cần thiết phải dùng lệnh static ở đây nữa không ?

      Xin thầy giải đáp thêm
      Cảm ơn thầy !

      Comment

      • #4
        Originally posted by Steel_Dragon View Post
        Rất cám ơn thầy đã hồi đáp, em xin được trao đổi tiếp như sau :

        Theo em tìm hiểu được thì 1 trong những chức năng của fw là che dấu địa chỉ mạng nội bộ !
        Còn câu lệnh

        là dùng để định nghĩa dải ip mà inside dùng để tiếp xúc với mạng ngoài
        còn

        là để chỉ đích danh ip đc NAT

        Như vậy có đúng ko ạ ?

        Vậy nếu chỉ cần kiểm tra thông mạng bằng cách ping từ PC bên inside đến interface của R
        thì em cần config như thế nào ?
        Có cần ACL cho dữ liệu đi vào ở interface outside trên PIX không ?

        Và có cần thiết phải dùng lệnh static ở đây nữa không ?

        Xin thầy giải đáp thêm
        Cảm ơn thầy !

        Chào bạn,

        Bạn xem bài viết này

        http://vnpro.org/blog/?p=3813


        1. Đi từ vùng bảo mật thấp qua vùng bảo mật cao (đi từ vùng bảo mật 0 -> vùng bảo mật 100) thì phải mở ACL.

        2. Còn đi từ vùng bảo mật 100 -> vùng bảo mật 0 thì không cần mở ACL.

        3. Ngoài ra, mặc định các gói ICMP bị cấm ở chiều từ ngoài đi vào bên trong (mặc dù 100 -> 0 nhưng gói icmp bị cấm ở chiều trả về, các gói khác thì sẽ đi bình thường), cho nên bạn cần phải mở ACL (từ 0 -> 100 cho traffic ICMP). Xem thêm ở đây
        Còn các traffic khác thì không cần.


        interface Ethernet0
        nameif outside
        security-level 0 -> vùng bảo mật thấp
        ip address 203.162.1.2 255.255.255.0
        !
        interface Ethernet1
        nameif inside
        security-level 100 -> vùng bảo mật cao
        ip address 172.16.1.1 255.255.255.0

        4. Mặc định tính năng nat-control được bật.
        Cho nên ngoài việc mở ACL thì cần phải thực hiện thêm việc NAT thì gói tin mới đi từ vùng bảo mật này tới vùng bảo mật kia được.

        Còn việc NAT tĩnh, động, overload thì tương tự như router mà thôi, chỉ khác nhau vấn đề nằm ở câu lệnh.
        Last edited by phamminhtuan; 15-02-2011, 01:00 AM.
        Phạm Minh Tuấn

        Email : phamminhtuan@vnpro.org
        Yahoo : phamminhtuan_vnpro
        -----------------------------------------------------------------------------------------------
        Trung Tâm Tin Học VnPro
        149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
        Tel : (08) 35124257 (5 lines)
        Fax: (08) 35124314

        Home page: http://www.vnpro.vn
        Support Forum: http://www.vnpro.org        		 - Chuyên đào tạo quản trị mạng và hạ tầng Internet
        - Phát hành sách chuyên môn
        - Tư vấn và tuyển dụng nhân sự IT
        - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

        Network channel: http://www.dancisco.com
        Blog: http://www.vnpro.org/blog

        Comment

        • #5
          Thầy ơi có thể giải đáp thêm cho em 1 câu hỏi nữa :
          Pix dùng cho lab thường giới hạn có thể active 5 interfaces
          Giờ em có 1 bài lab phải dùng tới 7 interfaces .
          Xin hỏi thầy có cách nào active thêm số interfaces hay ko
          Mặc dù lúc config em đã nâng số NICs lên rồi nhưng khi config vẫn bị báo lỗi :
          pixfirewall(config)# interface e5
          ..........................................^
          ERROR: % Invalid input detected at '^' marker.
          P/s: em đã biết là do dùng restricted license nên bị hạn chế số interface
          Thày có thể cho em 1 bản restricted license mà có số interfaces >6 ko ?

          Cảm ơn thầy !
          Last edited by Guest; 16-02-2011, 11:07 PM.

          Comment

          • #6
            Chào bạn,

            Pix ảo mình dùng cũng chỉ có 5 interface thôi vì GNS3 0.7 chỉ có một slot, nên mình cũng không rõ cách nào gắn thêm interface vào Pix ảo.
            Last edited by phamminhtuan; 18-02-2011, 01:55 AM.
            Phạm Minh Tuấn

            Email : phamminhtuan@vnpro.org
            Yahoo : phamminhtuan_vnpro
            -----------------------------------------------------------------------------------------------
            Trung Tâm Tin Học VnPro
            149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
            Tel : (08) 35124257 (5 lines)
            Fax: (08) 35124314

            Home page: http://www.vnpro.vn
            Support Forum: http://www.vnpro.org            		 - Chuyên đào tạo quản trị mạng và hạ tầng Internet
            - Phát hành sách chuyên môn
            - Tư vấn và tuyển dụng nhân sự IT
            - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

            Network channel: http://www.dancisco.com
            Blog: http://www.vnpro.org/blog

            Comment

            Previous template Next
            Working...
            X