forum.opennet.ru - "Как пропустить DCOM через Cisco Secure PIX" (7)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Как пропустить DCOM через Cisco Secure PIX"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Как пропустить DCOM через Cisco Secure PIX"
Сообщение от Дмитрий (??) on 27-Ноя-07, 15:29
Возможно ли пропустить протокол DCOM через Cisco Secure PIX? Если возможно, то прошу кусок конфига. Настройки PIX'a: PIX Version 6.3(4) interface ethernet0 auto interface ethernet1 auto interface ethernet2 auto shutdown interface ethernet3 auto shutdown interface ethernet4 auto shutdown interface ethernet5 auto shutdown nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 DCOM security4 nameif ethernet3 intf3 security6 nameif ethernet4 intf4 security8 nameif ethernet5 intf5 security10 enable password pass encrypted passwd pass encrypted hostname xxx domain-name xxx.ru fixup protocol dns maximum-length 512 fixup protocol ftp 21 fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80 fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names access-list outside-in permit icmp any any access-list inside-in permit icmp any any pager lines 24 logging on logging timestamp logging buffered debugging logging trap debugging logging history debugging logging queue 0 mtu outside 1500 mtu inside 1500 mtu DCOM 1500 mtu intf3 1500 mtu intf4 1500 mtu intf5 1500 ip address outside xxx 255.255.255.252 ip address inside 10.143.134.254 255.255.255.0 no ip address DCOM no ip address intf3 no ip address intf4 no ip address intf5 ip audit info action alarm ip audit attack action alarm no failover failover timeout 0:00:00 failover poll 15 no failover ip address outside no failover ip address inside no failover ip address DCOM no failover ip address intf3 no failover ip address intf4 no failover ip address intf5 pdm logging informational 100 pdm history enable arp timeout 14400 global (outside) 2 xxx2 global (outside) 1 xxx1 nat (inside) 1 10.143.134.1 255.255.255.255 dns 0 0 nat (inside) 2 10.143.134.94 255.255.255.255 dns 0 0 static (inside,outside) xxx2 10.143.134.94 netmask 255.255.255.255 0 0 static (inside,outside) xxx1 10.143.134.1 netmask 255.255.255.255 0 0 access-group outside-in in interface outside access-group inside-in in interface inside route outside 0.0.0.0 0.0.0.0 xxx3 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local http server enable no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable telnet timeout 5 ssh xxx.xxx.xxx.xxx 255.255.255.255 outside ssh timeout 60 console timeout 0 dhcpd lease 3600 dhcpd ping_timeout 750 dhcpd auto_config outside terminal width 80
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Как пропустить DCOM через Cisco Secure PIX, pablo, 01:42 , 28-Ноя-07, (1)

Как пропустить DCOM через Cisco Secure PIX, Дмитрий, 09:00 , 28-Ноя-07, (2)

Как пропустить DCOM через Cisco Secure PIX, pablo, 11:54 , 28-Ноя-07, (3)

Как пропустить DCOM через Cisco Secure PIX, Дмитрий, 18:06 , 28-Ноя-07, (4)

Как пропустить DCOM через Cisco Secure PIX, Дмитрий, 08:50 , 04-Дек-07, (5)

Как пропустить DCOM через Cisco Secure PIX, imarek, 10:50 , 04-Дек-07, (6)

Как пропустить DCOM через Cisco Secure PIX, Дмитрий, 07:17 , 05-Дек-07, (7)

Сообщения по теме [Сортировка по времени | RSS]

1. "Как пропустить DCOM через Cisco Secure PIX"

Сообщение от pablo (??) on 28-Ноя-07, 01:42

>Возможно ли пропустить протокол DCOM через Cisco Secure PIX?
>Если возможно, то прошу кусок конфига.
Насколько я помню, DCOM случайные порты (что-то вроде ftp), необходимо на уровне ОС указать диапазон портов которые потом разрешить на PIX.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Как пропустить DCOM через Cisco Secure PIX"

Сообщение от Дмитрий (??) on 28-Ноя-07, 09:00

С портами худо бедно разобраться то можно, только вот в чем загвоздка, при работе данного протокола пишется что:
Клиент должен иметь возможность обмениваться данными с сервером, используя его реальный, а не виртуальный, IP-адрес. Это связано с тем, что информация об интерфейсе, передаваемая сервером клиенту, содержит реальный IP-адрес сервера, который клиент будет пытаться использовать. Если брандмауэр скрывает реальный IP-адрес сервера, клиент не сможет осуществлять вызовы функций интерфейсов сервера.
Сервер же стоит за натом и PIX дает ему "белый" адрес.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Как пропустить DCOM через Cisco Secure PIX"

Сообщение от pablo (??) on 28-Ноя-07, 11:54

>использовать. Если брандмауэр скрывает реальный IP-адрес сервера, клиент не сможет осуществлять
>вызовы функций интерфейсов сервера.
>Сервер же стоит за натом и PIX дает ему "белый" адрес.
В таком случае, вам ничего не остается кроме как туннелировать трафик.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Как пропустить DCOM через Cisco Secure PIX"

Сообщение от Дмитрий (??) on 28-Ноя-07, 18:06

А можно это в рамках конфигурирования PIX'а? Не сильно большой дока по нему, только начал заниматься.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Как пропустить DCOM через Cisco Secure PIX"

Сообщение от Дмитрий (??) on 04-Дек-07, 08:50

Пожалуйста, ответьте, очень нужно.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Как пропустить DCOM через Cisco Secure PIX"

Сообщение от imarek (ok) on 04-Дек-07, 10:50

Для начала попробовать открыть TCp/udp 135 (DCOM, если не ошибаюсь)
если серверная часть находиться внутри
>access-list outside-in permit icmp any any
access-list outside-in permit udp any any eq 135
access-list outside-in permit tcp any any eq 135
если серверная часть находиться снаружи
>access-list inside-in permit icmp any any
access-list inside-in permit udp any any eq 135
access-list inside-in permit tcp any any eq 135
если используются другие порты, то они соответсвенно должны быть прописаны в
access-list.
а эти строчки выкинуть, так как прописан static
>global (outside) 2 xxx2
>global (outside) 1 xxx1
>nat (inside) 1 10.143.134.1 255.255.255.255 dns 0 0
>nat (inside) 2 10.143.134.94 255.255.255.255 dns 0 0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Как пропустить DCOM через Cisco Secure PIX"

Сообщение от Дмитрий (??) on 05-Дек-07, 07:17

Вопрос не по портам, их я прописал, вопрос в адресе сервера. Если убрать static, то как задать жесткое соответствие между внутренним и внешним адресом?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Как пропустить DCOM через Cisco Secure PIX"
Сообщение от pablo (??) on 28-Ноя-07, 01:42
>Возможно ли пропустить протокол DCOM через Cisco Secure PIX? >Если возможно, то прошу кусок конфига. Насколько я помню, DCOM случайные порты (что-то вроде ftp), необходимо на уровне ОС указать диапазон портов которые потом разрешить на PIX.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Как пропустить DCOM через Cisco Secure PIX"
	Сообщение от Дмитрий (??) on 28-Ноя-07, 09:00
	С портами худо бедно разобраться то можно, только вот в чем загвоздка, при работе данного протокола пишется что: Клиент должен иметь возможность обмениваться данными с сервером, используя его реальный, а не виртуальный, IP-адрес. Это связано с тем, что информация об интерфейсе, передаваемая сервером клиенту, содержит реальный IP-адрес сервера, который клиент будет пытаться использовать. Если брандмауэр скрывает реальный IP-адрес сервера, клиент не сможет осуществлять вызовы функций интерфейсов сервера. Сервер же стоит за натом и PIX дает ему "белый" адрес.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Как пропустить DCOM через Cisco Secure PIX"
	Сообщение от pablo (??) on 28-Ноя-07, 11:54
	>использовать. Если брандмауэр скрывает реальный IP-адрес сервера, клиент не сможет осуществлять >вызовы функций интерфейсов сервера. >Сервер же стоит за натом и PIX дает ему "белый" адрес. В таком случае, вам ничего не остается кроме как туннелировать трафик.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Как пропустить DCOM через Cisco Secure PIX"
	Сообщение от Дмитрий (??) on 28-Ноя-07, 18:06
	А можно это в рамках конфигурирования PIX'а? Не сильно большой дока по нему, только начал заниматься.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Как пропустить DCOM через Cisco Secure PIX"
	Сообщение от Дмитрий (??) on 04-Дек-07, 08:50
	Пожалуйста, ответьте, очень нужно.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Как пропустить DCOM через Cisco Secure PIX"
Сообщение от imarek (ok) on 04-Дек-07, 10:50
Для начала попробовать открыть TCp/udp 135 (DCOM, если не ошибаюсь) если серверная часть находиться внутри >access-list outside-in permit icmp any any access-list outside-in permit udp any any eq 135 access-list outside-in permit tcp any any eq 135 если серверная часть находиться снаружи >access-list inside-in permit icmp any any access-list inside-in permit udp any any eq 135 access-list inside-in permit tcp any any eq 135 если используются другие порты, то они соответсвенно должны быть прописаны в access-list. а эти строчки выкинуть, так как прописан static >global (outside) 2 xxx2 >global (outside) 1 xxx1 >nat (inside) 1 10.143.134.1 255.255.255.255 dns 0 0 >nat (inside) 2 10.143.134.94 255.255.255.255 dns 0 0
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Как пропустить DCOM через Cisco Secure PIX"
	Сообщение от Дмитрий (??) on 05-Дек-07, 07:17
	Вопрос не по портам, их я прописал, вопрос в адресе сервера. Если убрать static, то как задать жесткое соответствие между внутренним и внешним адресом?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]