Cisco Pix 501: Portfreigabe & ACL

Portfreigabe auf einer Pix einrichten:

Die Einrichtung einer einfachen Portfreigabe ist gar nicht so einfach wie man im ersten Moment vermuten mag.

Ich empfehle hier die Kommandozeile zu benutzen, da PDM grad bei statischen Routen und ACL’s häufig mist baut.

Lets start:

  1. Per Hyperterminal mit der Pix verbinden
  2. in enable Modus wechseln
  3. per conf t in Konfigurationsmodus wechseln
  4. Zunächst muss eine statische Route definiert werden: “static (inside, outside) <tcp/udp> <outside-ip-der-Pix> <gewünschter Port> <Ziel-Host-im-Inside-Interface> <gewünschter Port> netmask 255.255.255.255 0 0”
  5. Anschließend definiert man nun die ACL damit der Traffic auf dem entsprechenden Port auch durchgelassen wird: “access-list <acl-name> permit <tcp/udp> any host <outside-ip-der-Pix> eq <gewünschter Port>”
  6. Dann muss die ACL noch einer Access-Group zugeordnet werden: “access-group <acl-name> in interface outside”
  7. “wr mem” nicht vergessen 🙂

Its done!

Cisco Pix 501: Grundlagen ACL’s & Dhcp

Access Control List (ACL):

  • ACL=Firewallregel
  • Abarbeitung von oben nach unten bis ein
    passender Eintrag gefunden wird
  • Eine ACL wird mit „access-group“ einer
    Schnittstelle zugeordnet

Aufbau einer ACL:

access-list <name|nr> permit|deny
<protocol> <source> <destination>
[<parameter>]

Beispiel:

access-list 3 permit icmp any any echo-reply
access-list 7 permit tcp any any eq 22

Access-Group:

access-group <name|nr> in interface
<if-name>

Beispiel ACL’s:

access-list zentral permit icmp any any echo-reply
access-list zentral permit icmp any any unreachable
access-list zentral permit icmp any any time-exceeded
access-list zentral permit tcp host 192.189.51.100 62.199.66.16
255.255.255.240 eq 22
access-list zentral permit udp any host 62.199.66.23 eq 53
access-list zentral permit tcp any host 62.199.66.23 eq 53
access-list zentral permit tcp any host 62.199.66.24 eq 25
access-list zentral permit tcp any host 62.199.66.25 eq 80
access-group zentral in interface outside
Pix als Dhcp Server:
• dhcpd address <first>-<last> <if>
• dhcpd domain <dns-domain>
• dhcpd dns <dnsserverip1> [<ip2>]
• dhcpd wins <winserverip1> [<ip2>]
• dhcpd lease <lease-time>
• dhcpd enable <if>

Esxi 4.0: Ssh Zugriff für Root und andere User

Hiho,

bei Vmware Esxi ist der Ssh Zugriff standardmäßig deaktiviert, er muss also zunächst aktiviert werden.

  1. an Esxi Server im laufenden Betrieb ALT + F1 drücken
  2. blind “unsupported” eintippen und root Kennwort eingeben
  3. Als nächstes muss die Konfigurationsdatei des Inet-Services editiert werden, dazu “vi /etc/inetd.conf” eingeben.
  4. Nun scrollt man bis zur Zeile die mit “#ssh” beginnt.
  5. Die Auskommentierung einfach entfernen und fertig “Taste x, ESC, wq!”

Anm für Vi-Gimps: ->Taste x, ESC, :wq!

Damit wäre nun schonmal der Ssh Zugriff aktiviert, allerdings kann man sich in diesem Zustand nur mit root anmelden, was nicht unbedingt empfehlenswert ist.

Nun fragt man sich warum andere User sich eigentlich nicht einloggen können. Der Grund dafür liegt am Home-Verzeichnis der jeweiligen User. Esxi löscht nach jedem Neustart den Ordner /home (Anmerkung: Root ist in sofern davon nicht betroffen weil sein homeverzeichnis “/” ist). Die User haben in der /etc/passwd ihr Homeverzeichnis aber in /home/<<user>> Da gibts dann also ein Problem, dass /home einfach nicht da ist.

Lösung:

  1. als root mit vi die Datei /etc/passwd öffnen
  2. zum entsprechenden User scrollen
  3. Bsp: –> luke:x:502:100:Lukas Skywalker:/home/luke:/bin/bash
  4. die rot markierte Stelle bezeichnet das Homeverzeichnis des Users, diese einfach durch “/” ersetzen.
  5. Speichern (ESC, :wq!) und fertig ist die Suppe.