The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Как пропустить DCOM через Cisco Secure PIX"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"Как пропустить DCOM через Cisco Secure PIX"  
Сообщение от Дмитрий email(??) on 27-Ноя-07, 15:29 
Возможно ли пропустить протокол DCOM через Cisco Secure PIX?
Если возможно, то прошу кусок конфига.
Настройки PIX'a:
PIX Version 6.3(4)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 DCOM security4
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password pass encrypted
passwd pass encrypted
hostname xxx
domain-name xxx.ru
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list outside-in permit icmp any any
access-list inside-in permit icmp any any
pager lines 24
logging on
logging timestamp
logging buffered debugging
logging trap debugging
logging history debugging
logging queue 0
mtu outside 1500
mtu inside 1500
mtu DCOM 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address outside xxx 255.255.255.252
ip address inside 10.143.134.254 255.255.255.0
no ip address DCOM
no ip address intf3
no ip address intf4
no ip address intf5
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address DCOM
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 2 xxx2
global (outside) 1 xxx1
nat (inside) 1 10.143.134.1 255.255.255.255 dns 0 0
nat (inside) 2 10.143.134.94 255.255.255.255 dns 0 0
static (inside,outside) xxx2 10.143.134.94 netmask 255.255.255.255 0 0
static (inside,outside) xxx1 10.143.134.1 netmask 255.255.255.255 0 0
access-group outside-in in interface outside
access-group inside-in in interface inside
route outside 0.0.0.0 0.0.0.0 xxx3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
http server enable
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh xxx.xxx.xxx.xxx 255.255.255.255 outside
ssh timeout 60
console timeout 0
dhcpd lease 3600
dhcpd ping_timeout 750
dhcpd auto_config outside
terminal width 80
Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Как пропустить DCOM через Cisco Secure PIX"  
Сообщение от pablo email(??) on 28-Ноя-07, 01:42 
>Возможно ли пропустить протокол DCOM через Cisco Secure PIX?
>Если возможно, то прошу кусок конфига.

Насколько я помню, DCOM случайные порты (что-то вроде ftp), необходимо на уровне ОС указать диапазон портов которые потом разрешить на PIX.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Как пропустить DCOM через Cisco Secure PIX"  
Сообщение от Дмитрий email(??) on 28-Ноя-07, 09:00 
С портами худо бедно разобраться то можно, только вот в чем загвоздка, при работе данного протокола пишется что:
Клиент должен иметь возможность обмениваться данными с сервером, используя его реальный, а не виртуальный, IP-адрес. Это связано с тем, что информация об интерфейсе, передаваемая сервером клиенту, содержит реальный IP-адрес сервера, который клиент будет пытаться использовать. Если брандмауэр скрывает реальный IP-адрес сервера, клиент не сможет осуществлять вызовы функций интерфейсов сервера.
Сервер же стоит за натом и PIX дает ему "белый" адрес.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Как пропустить DCOM через Cisco Secure PIX"  
Сообщение от pablo email(??) on 28-Ноя-07, 11:54 

>использовать. Если брандмауэр скрывает реальный IP-адрес сервера, клиент не сможет осуществлять
>вызовы функций интерфейсов сервера.
>Сервер же стоит за натом и PIX дает ему "белый" адрес.

В таком случае, вам ничего не остается кроме как туннелировать трафик.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Как пропустить DCOM через Cisco Secure PIX"  
Сообщение от Дмитрий email(??) on 28-Ноя-07, 18:06 
А можно это в рамках конфигурирования PIX'а? Не сильно большой дока по нему, только начал заниматься.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Как пропустить DCOM через Cisco Secure PIX"  
Сообщение от Дмитрий email(??) on 04-Дек-07, 08:50 
Пожалуйста, ответьте, очень нужно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Как пропустить DCOM через Cisco Secure PIX"  
Сообщение от imarek (ok) on 04-Дек-07, 10:50 
Для начала попробовать открыть TCp/udp 135 (DCOM, если не ошибаюсь)
если серверная часть находиться внутри

>access-list outside-in permit icmp any any

access-list outside-in permit udp any any eq 135
access-list outside-in permit tcp any any eq 135

если серверная часть находиться снаружи
>access-list inside-in permit icmp any any

access-list inside-in permit udp any any eq 135
access-list inside-in permit tcp any any eq 135

если используются другие порты, то они соответсвенно должны быть прописаны в
access-list.

а эти строчки выкинуть, так как прописан static

>global (outside) 2 xxx2
>global (outside) 1 xxx1
>nat (inside) 1 10.143.134.1 255.255.255.255 dns 0 0
>nat (inside) 2 10.143.134.94 255.255.255.255 dns 0 0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Как пропустить DCOM через Cisco Secure PIX"  
Сообщение от Дмитрий email(??) on 05-Дек-07, 07:17 
Вопрос не по портам, их я прописал, вопрос в адресе сервера. Если убрать static, то как задать жесткое соответствие между внутренним и внешним адресом?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру