https://kb.pocnet.net/index.php?action=history&feed=atom&title=Cisco_PIX_KonfigurationsbeispieleCisco PIX Konfigurationsbeispiele - Versionsgeschichte2026-05-04T03:38:51ZVersionsgeschichte dieser Seite in KnowledgebaseMediaWiki 1.43.8https://kb.pocnet.net/index.php?title=Cisco_PIX_Konfigurationsbeispiele&diff=1954&oldid=prevPoC: /* Outbound/Apply */ Sinnlos ohne vorheriges Deny, wenn später doch alles erlaubt wird2017-04-09T12:04:16Z<p><span class="autocomment">Outbound/Apply: </span> Sinnlos ohne vorheriges Deny, wenn später doch alles erlaubt wird</p>
<p><b>Neue Seite</b></p><div>Die '''Cisco PIX''' ist eine veraltete Firewall-Lösung von Cisco. Je nach dem kann sie ungeachtet dessen durchaus noch sinnvolle Einsatzzwecke haben, z.&thinsp;B. als [[Netzwerkperformance mit alten Macs und Linux|TCP-Normalizer]].<br />
<br />
Seit PIX OS Version 7 unterstützt die PIX ausschliesslich ACL-basierte Regeln, welche an ''Interfaces'' gebunden werden (''access-group''). Ab dieser Version „fühlt“ sich die PIX deutlich mehr wie eine ASA an.<br />
<br />
Version 6(3)5 ist die letzte Version der 6er Reihe, welche<br />
* noch die alte Konfigurationsvariante mittels Conduit und Outbound/Apply unterstützt,<br />
* auf der kleinen PIX 501 läuft,<br />
* ausschliesslich IPv4 unterstützt.<br />
<br />
Weil die Dokumentationsquellen zu bestimmten Anwendungszwecken der Version 6 immer seltener werden, folgen hier ein paar „Kochrezepte“.<br />
<br />
== Firewall: Einfaches Drin-Draussen-Szenario ==<br />
Dazu werden die Interfaces benannt und mit den zugehörigen Security Leveln versehen:<br />
nameif ethernet0 outside security0<br />
nameif ethernet1 inside security100<br />
Den Interfaces werden die Adressen zugewiesen und eine Defaultroute nach extern konfiguriert:<br />
ip address outside 198.51.100.10 255.255.255.0<br />
ip address inside 192.168.178.1 255.255.255.0<br />
route outside 0.0.0.0 0.0.0.0 217.28.96.177 1<br />
Das Interface ''outside'' wird dem NAT-Pool 1 zugewiesen und eine NAT-Regel für das lokale LAN via NAT-Pool 1 erstellt.<br />
global (outside) 1 interface<br />
nat (inside) 1 192.168.178.0 255.255.255.0 0 0<br />
<br />
Mit dieser Grundkonfiguration dürfen alle Pakete vom höheren Security Level zum kleineren passieren; ein Konzept was sich bis heute auch bei der ASA gehalten hat und für eine deutliche Vereinfachung der Konfiguration sorgen kann.<br />
<br />
=== Conduit ===<br />
Damit können Verbindungen von extern (''outside'', niedriger ''security level'') nach intern (''inside'', höherer ''security level'') durchgelassen werden.<br />
conduit permit tcp host 198.51.100.10 eq 8333 any<br />
Damit werden TCP-Verbindungen '''auf''' die Adresse 198.51.100.10, Port 8333 '''von''' überall (''any'') zugelassen. In diesem Fall ist 198.51.100.10 die Adresse des ''Outside''-Interfaces. Es gibt keinen Parameter wie bei der ASA, eine Schnittstelle als Ziel anzugeben.<br />
<br />
In aller Regel sind die Inside-Hosts Teil eines Netzwerkes nach [https://tools.ietf.org/html/rfc1918 RFC1918]. Diese sind per Definition also nicht von extern erreichbar und müssen daher nach drin ge''NAT''tet werden.<br />
<br />
Es wird also TCP-Port 8333 des ''Interfaces'' (outside) nach Port 8333 des Hosts 192.168.178.10 am Interface ''inside'' weitergereicht:<br />
static (inside,outside) tcp interface 8333 192.168.178.10 8333 netmask 255.255.255.255 0 0 <br />
Verwirrenderweise sind die Angaben in der Klammer verglichen mit dem Verlauf der Konfigurationszeile genau verkehrt herum.<br />
<br />
=== Outbound/Apply ===<br />
Damit können anhand des Security-Level-Gefälles eigentlich erlaubte Verbindungen unterbunden werden. Folgende Details sind wichtig:<br />
* Im Gegensatz zur ASA-Konfiguration sitzt am Ende der Outbound-Liste kein implizites ''deny'',<br />
* im Gegensatz zur ASA fällt ein Paket durch alle Regeln durch und das Endergebnis zählt,<br />
* die Ähnlichkeit mit den numerischen Standard-ACLs von Cisco IOS sind frappierend,<br />
* mit dem ''apply''-Kommando wird festgelegt, ob sich die Adressen auf die Quelle oder das Ziel beziehen,<br />
** wobei die Ports unabhängig von ''outgoing_src'' oder ''outgoing_dest'' immer Zielports darstellen.<br />
* Es können mehrere Outbound-Regelsätze existieren, die per ''apply'' an das gleiche Interface geknotet werden,<br />
* es gibt nicht nur die Regelbefehle ''deny'' und ''permit'', sondern auch ''except'' (näheres siehe Doku bei Cisco in den [[#Weblinks|Weblinks]]).<br />
<br />
Einfaches Beispiel folgt. Zwecks einfacherer Regelpflege werden zuerst alle Verbindungen unterbunden und danach selektiv erlaubt:<br />
outbound 1 deny 0.0.0.0 0.0.0.0 0 ip<br />
outbound 1 permit 192.168.178.0 255.255.255.0 0 icmp<br />
outbound 1 permit 192.168.178.0 255.255.255.0 3 icmp<br />
outbound 1 permit 192.168.178.0 255.255.255.0 11-13 icmp<br />
outbound 1 permit 192.168.178.0 255.255.255.0 53 udp<br />
outbound 1 permit 192.168.178.0 255.255.255.0 53 tcp<br />
outbound 1 permit 192.168.178.0 255.255.255.0 80 tcp<br />
outbound 1 permit 192.168.178.0 255.255.255.0 123 udp<br />
outbound 1 permit 192.168.178.0 255.255.255.0 443 tcp<br />
outbound 1 permit 192.168.178.0 255.255.255.0 8333 tcp<br />
Final wird nun diese Liste an das ''inside''-Interface geknotet:<br />
apply (inside) 1 outgoing_src<br />
Damit z.&thinsp.B. nicht alle Pakete über ein evtl. konfiguriertes VPN zu Zieladressen gemäß RFC1918 laufen dürfen, werden in einer zweiten Outbound/Apply-Gruppe Einschränkungen nach Zieladresse vorgenommen:<br />
outbound 2 deny 192.168.0.0 255.255.0.0 0 ip<br />
outbound 2 deny 172.16.0.0 255.240.0.0 0 ip<br />
outbound 2 deny 10.0.0.0 255.0.0.0 0 ip<br />
outbound 2 permit 192.168.0.0 255.255.0.0 0 icmp<br />
outbound 2 permit 192.168.0.0 255.255.0.0 3 icmp<br />
outbound 2 permit 192.168.0.0 255.255.0.0 11-13 icmp<br />
outbound 2 permit 192.168.0.0 255.255.0.0 53 udp<br />
outbound 2 permit 192.168.0.0 255.255.0.0 53 tcp<br />
outbound 2 permit 192.168.0.0 255.255.0.0 80 tcp<br />
outbound 2 permit 192.168.0.0 255.255.0.0 123 udp<br />
outbound 2 permit 192.168.0.0 255.255.0.0 443 tcp<br />
outbound 2 permit 172.16.0.0 255.240.0.0 0 icmp<br />
outbound 2 permit 172.16.0.0 255.240.0.0 3 icmp<br />
outbound 2 permit 172.16.0.0 255.240.0.0 11-13 icmp<br />
outbound 2 permit 172.16.0.0 255.240.0.0 53 udp<br />
outbound 2 permit 172.16.0.0 255.240.0.0 53 tcp<br />
outbound 2 permit 172.16.0.0 255.240.0.0 80 tcp<br />
outbound 2 permit 172.16.0.0 255.240.0.0 123 udp<br />
outbound 2 permit 172.16.0.0 255.240.0.0 443 tcp<br />
outbound 2 permit 10.0.0.0 255.0.0.0 0 icmp<br />
outbound 2 permit 10.0.0.0 255.0.0.0 3 icmp<br />
outbound 2 permit 10.0.0.0 255.0.0.0 11-13 icmp<br />
outbound 2 permit 10.0.0.0 255.0.0.0 53 udp<br />
outbound 2 permit 10.0.0.0 255.0.0.0 53 tcp<br />
outbound 2 permit 10.0.0.0 255.0.0.0 80 tcp<br />
outbound 2 permit 10.0.0.0 255.0.0.0 123 udp<br />
outbound 2 permit 10.0.0.0 255.0.0.0 443 tcp<br />
outbound 2 permit 0.0.0.0 0.0.0.0 0 ip<br />
apply (inside) 2 outgoing_dest<br />
Im Endergebnis werden beide ACL-Gruppen UND-Verknüpft. Dadurch lassen sich Einschränkungen nach Quelle UND Ziel definieren.<br />
<br />
== Weblinks ==<br />
* [https://en.wikipedia.org/wiki/Cisco_PIX Cisco PIX] in der englischsprachigen Wikipedia<br />
* [http://www.cisco.com/en/US/docs/security/pix/pix50/configuration/guide/commands.html PIX 5 Command Reference] bei Cisco.com<br />
<br />
[[Kategorie: Cisco]]</div>PoC