Configuration du Firewall PIX 506 E de CISCO

[bagossou]

<BR>J'ai configuré un Firewall PIX 506 E de CISCO sur mon réseau en lui attribuant une adresse IP PUBLIC fournie par mon FAI( oleane) et une adresse IP Privée coté LAN <BR> <BR>De sorte que toutes les requêtes entrantes et sortantes passes par le Firewall, mais il se trouve que je ne peux sortir que qu'une machine à la foi sur internet donc il n'y à que la personne de la machine connectée qui à accès aux mail et à l'internet, jusqu'à ce qu'elle soit déconnectée. <BR> <BR>J'ai tout essayé et j'ai été obligé de débrancher le Firewall <BR> <BR>Aidez-moi à trouver une solution <BR> <BR>Merci <BR> <BR>Barth

[antolien]

il nous faut plus de détails s'il te plaît <BR> <BR>- d'abord quelle est la plage ip du LAN ? <BR>- quel est l'os des clients ? <BR>- est-ce qu'il y a un serveur DHCP ? <BR>- tes clients ont bien l'ip du firewall comme passerelle ? <BR> <BR>...

[remi]

J'ai un pix506E <BR> <BR>Qu'as tu mis dans : Hosts/Networks ?? <BR>Peux tu me faire passer ton fichier de configuration ??

[bagossou]

<BR> <BR>Salut Antolien, salut Rémi, <BR> <BR> <BR>Merci pour votre aide. <BR> <BR>pour vous permettre de m'aider vous trouverez ci dessous le fichier de Config du PIX . <BR> <BR>vos conseils pour sortir de se problèmes? <BR> <BR> <BR>Merci à vous tous <BR> <BR>A+ <BR> <BR>Barth <BR> <BR>: Written by enable_15 at 11:33:41.109 UTC Sat Jun 14 2003 <BR>PIX Version 6.2(1) <BR>nameif ethernet0 outside security0 <BR>nameif ethernet1 inside security100 <BR>enable password CHBP3iaRZeXoVFWp encrypted <BR>passwd CHBP3iaRZeXoVFWp encrypted <BR>hostname Marine-plan <BR>domain-name marine.siege <BR>fixup protocol ftp 21 <BR>fixup protocol http 80 <BR>fixup protocol h323 h225 1720 <BR>fixup protocol h323 ras 1718-1719 <BR>fixup protocol ils 389 <BR>fixup protocol rsh 514 <BR>fixup protocol rtsp 554 <BR>fixup protocol smtp 25 <BR>fixup protocol sqlnet 1521 <BR>fixup protocol sip 5060 <BR>fixup protocol skinny 2000 <BR>names <BR>access-list acl_out permit tcp any any eq domain <BR>access-list acl_out permit udp any any eq domain <BR>access-list acl_out permit tcp any host 194.51.32.114 <BR>access-list acl_out permit tcp any host 194.51.32.114 <BR>access-list acl_out permit tcp any host 194.51.32.113 eq www <BR>access-list acl_out permit ip any host 194.51.32.115 <BR>access-list acl_out permit ip any host 194.51.32.114 <BR>access-list acl_out permit icmp any host 194.51.32.114 <BR>access-list acl_out permit icmp any host 194.51.32.115(Serveur de planification) <BR>access-list acl_out permit icmp any host 194.51.32.113 (c'est un poste accèssible) <BR>access-list acl_out permit tcp any host 194.51.32.115 <BR>access-list acl_out permit tcp any any eq www <BR>pager lines 24 <BR>logging on <BR>interface ethernet0 auto <BR>interface ethernet1 auto <BR>mtu outside 1500 <BR>mtu inside 1500 <BR>ip address outside 194.51.32.115 255.255.255.248 <BR>ip address inside 193.168.0.75 255.255.255.0 <BR>ip audit name ATTACKPOLICY attack action alarm reset <BR>ip audit name INFOPOLICY info action alarm reset <BR>ip audit interface outside INFOPOLICY <BR>ip audit interface inside ATTACKPOLICY <BR>ip audit info action alarm <BR>ip audit attack action alarm <BR>pdm history enable <BR>arp timeout 14400 <BR>global (outside) 1 interface <BR>nat (inside) 1 193.168.0.0 255.255.255.0 0 0 <BR>static (inside,outside) 194.51.32.112 193.168.0.2 netmask 255.255.255.255 0 0 <BR>static (inside,outside) 194.51.32.114 193.168.0.76 netmask 255.255.255.255 0 0 <BR>static (inside,outside) 194.51.32.113 193.168.0.13 netmask 255.255.255.255 0 0 <BR>access-group acl_out in interface outside <BR>route outside 0.0.0.0 0.0.0.0 193.168.0.75 <BR>timeout xlate 3:00:00 <BR>timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si <BR>p 0:30:00 sip_media 0:02:00 <BR>timeout uauth 0:05:00 absolute <BR>aaa-server TACACS+ protocol tacacs+ <BR>aaa-server RADIUS protocol radius <BR>aaa-server LOCAL protocol local <BR>http server enable <BR>http 193.168.0.8 255.255.255.255 inside <BR>http 193.168.0.0 255.255.255.255 inside <BR>no snmp-server location <BR>no snmp-server contact <BR>snmp-server community public <BR>no snmp-server enable traps <BR>floodguard enable <BR>no sysopt route dnat <BR>telnet 193.168.0.0 255.255.255.0 outside <BR>telnet 193.168.0.0 255.255.255.0 inside <BR>telnet timeout 5 <BR>ssh 193.168.0.0 255.255.255.0 outside <BR>ssh 193.168.0.0 255.255.255.0 inside <BR>ssh timeout 5 <BR>terminal width 80 <BR>Cryptochecksum:435a19bfd13cfc83df66db2ddd483980 <BR>Marine-plan(config)# <BR> <BR> <BR>

[daminux]

Voila ce qu'est de faire une utilisation abusive de PDM ou FWbuilder <BR> <BR> Enfin j'me comprends <BR> <BR><font size=-2></font><BR><BR><font size=-2></font>

[daminux]

J'mexplique t'a vu un peu le boulot :: <BR> <BR> <BR> <BR>Deja au grand deja commence par respecter les standars quoi que c'est cette adressage privé exotique il y a des spécification RFC c pas pour rien !! <BR> <BR>Cisco c de la solution pro pas bricolo <BR> <BR>ta rgle de nat : <BR>nat (inside) 1 193.168.0.0 255.255.255.0 0 0 <BR> <BR> <BR>Sinon ??? <BR>ip audit interface inside ATTACKPOLICY <BR>????????????? <BR> <BR>deja tu ne nat que 0.0.0.255 ( c'est normal ?) <BR> <BR>Sinon ma fois ya pas trop de raison mise à part qu'un tel adressage privé doit surement mettre le dahoit dans la table nat !! <BR> <BR> <BR><font size=-2></font><BR><BR><font size=-2></font>

[moktar]

C'EST PAS MALIN DE METTRE LES PASSWORDS DE TA CONFIG DANS LE FORUM. <BR> <BR>T'AS PLUS QU'A SUPPRIMER TON FIREWALL AU PROFIT D'UN HUB !!!!! <BR> <BR>... <BR>

[ldidier]

Excellent la config, maintenant on vas pouvoir aller jouer. Payer un pix 506 alors que cela peu se faire avec du gratuit c'est déjà pas bien fin, désolé mais un PIX 506 c'est tous de même pas le must en terme de Firewall. <BR> <BR>Donner sa config, c'est pas mail non plus, et de plus avec l'adressage public, et bien sur le password qui vas bien. <BR> <BR>Bon on reprend tous depuis le début. <BR> <BR>Je ne donne que les informations pertinente non confidentiel sur un forum. <BR>Jamais je ne donne un mot de passe à qui que ce soit que je ne connais, et même si je le connais. <BR>Je m'abstient d'acheter du matériel si je n'ais pas la formation ou suivi la formation ad'hoc <BR> <BR>Une fois ces petits conseils suivi tous iras mieux. <BR> <BR>Mais c'est la première fois que je voie un post de cette nature. Il y en as eu certainement d'autres.

[tomtom]

Hey les gars, arretz de vous affoler, le post date de juillet et si ça se trouve le gars il n'est mêem plus dans sa boite.. <BR> <BR>Alors on arrete un peu de deterrer des topics, il y'en a pas mal à aider au lieu de se moquer d'un super vieux truc ! <BR> <BR>t.

[ldidier]

Désolé j'ai pas résister. <BR> <BR>Par contre ma petite liste de précautions elle peut être utile ? non

[tomtom]

Oui bien sur, mais bon, 3 personnes qui disent la même chose à quelqu'un qui ne le lira probablement jamais, bon, c'est de la depense d'energie inutile à mon avis <BR> <BR>No problem sinon, c'etait juste une p'tite remarque comme ça <IMG SRC="images/smiles/icon_bise.gif"> <BR> <BR>t.