управление cisco <Cisco PIX 515 Firewall>
 

Добрый день!
У меня есть Cisco PIX 515 Firewall. нужно открыть порт на нем 3398(rdp)
Пробовал через консоль,ничего не получтлось. Пробовал через http до него достучаться, тоже нет. Главное пингуется.
Может подскажете графическое средство для управление это железкой Или какими командами открыть порт 3398 протокол rpd

Заранее благодарен!

У CISCO есть такая приблуда называется Cisco Network Assistant. Может подключаться к железкам и в довольно простом виде всё настраивать. Есть некоторое описание и мануал http://www.cisco.com/en/US/docs/net_.../OL12210a.html

Скачать его можно бесплатно с сайта cisco

P.S. как цисковод цисководу советую осваивать консоль ;)

cisco pix device manager
http://www.cisco.com/en/US/products/..._selector.html

Цитата:

Цитата oren_yastreb 3398(rdp) »

по умолчанию порт другой

по поводу Cisco Network Assistant.

Неподскажите почему именно к Cisco PIX 515 Firewall она не подкючается. К этажным свичам cisco подключается.
Может надо чтото включить на Cisco PIX 515 Firewall, потомучто пинг идет а подключениея нет

на нем может можно включить управление через web интерфейс. пинг то идет к нему

выкладывай конфиг циски!

enable
sh running-config

имеется ввиду голубеньким консольным проводом?
Попробуй еще по SSH подключиться. PS: для SSH под винду есть отличный клиент putty называется.

Вероятнее всего доступ закрыт на самом Pix по 22 порту

Выход один - подключится консольным кабелем

"Графические средства" используют те же самые порты, что и ssh + hhtps.

У вас пароль от Pix'а есть или нет?

Может быть настроен вход только с определенных IP? В принципе из-за малой информативности предыдущих сообщений - вполне может быть. В любом случае, если устройство исправно - можно подключиться консольным проводом.

: Saved
: Written by enable_15 at 17:50:50.662 UTC Sat Jan 23 2010
!
PIX Version 7.0(8)
!
hostname pixfirewall
domain-name cisco.com

!
interface Ethernet0
speed 100
duplex full
no nameif
no security-level
no ip address
!
interface Ethernet0.1
vlan 2
nameif inside
security-level 100
ip address xxxxxxx xxxxxxx
!
interface Ethernet0.2
vlan 4
nameif DMZ
security-level 50
ip address xxxxxxx
!
interface Ethernet0.3
vlan 5
nameif outside
security-level 0
ip address xxxxxxx xxxxxxx
!
interface Ethernet1
speed 100
duplex full
no nameif
no security-level
no ip address
!
interface Ethernet2
speed 100
duplex full
no nameif
no security-level
no ip address
!
boot system flash:/image.bin
ftp mode passive
access-list no_nat extended permit ip host xxxxxxx any
access-list no_nat extended permit icmp host xxxxxxx any
access-list in_acl extended permit tcp host xxxxxxx host xxxxxxx eq smtp
access-list in_acl extended permit tcp xxxxxxx xxxxxxx host xxxxxxx eq 8080
access-list in_acl extended permit udp host xxxxxxx any eq domain
access-list in_acl extended permit ip host xxxxxxx host xxxxxxx
access-list in_acl extended permit ip host 192.168.0.243 host xxxxxxx
access-list in_acl extended permit tcp host 192.168.0.19 any eq smtp
access-list in_acl extended permit tcp host 192.168.0.19 any eq pop3
access-list in_acl extended permit tcp host xxxxxxx any eq smtp
access-list in_acl extended permit tcp host 192.168.0.200 host xxxxxxx eq ftp
access-list in_acl extended permit icmp host 192.168.0.200 host xxxxxxx
access-list in_acl extended permit ip host 192.168.0.200 host xxxxxxx
access-list in_acl extended permit ip host 192.168.0.200 host xxxxxxx
access-list in_acl extended permit ip host 192.168.0.200 host xxxxxxx
access-list in_acl extended permit ip host 192.168.0.200 host xxxxxxx
access-list in_acl extended permit tcp xxxxxxx xxxxxxx host xxxxxxx eq www
access-list in_acl extended permit ip host 192.168.0.200 host 80.253.4.7
access-list in_acl extended permit ip host 192.168.0.200 host 80.253.4.6
access-list in_acl extended permit tcp host 192.168.0.200 host 81.23.101.8 eq ftp
access-list in_acl extended permit tcp host 192.168.0.200 host 85.249.141.170 eq ftp
access-list in_acl extended permit ip host 192.168.0.200 any
access-list in_acl extended permit tcp host xxxxxxx host 216.21.229.209 eq ftp
access-list in_acl extended permit tcp host 192.168.0.66 any eq ftp
access-list in_acl extended permit tcp host 192.168.0.66 any eq smtp
access-list in_acl extended permit tcp host 192.168.0.66 any eq pop3
access-list in_acl extended permit tcp any host xxxxxxx eq xxxxxxx
access-list in_acl extended permit tcp any host xxxxxxx eq xxxxxxx
access-list in_acl extended permit icmp any xxxxxxx xxxxxxx
access-list in_acl extended permit ip host xxxxxxx any
access-list in_acl extended permit ip host 192.168.0.253 any
access-list in_acl extended permit ip host 192.168.0.252 any
access-list in_acl extended permit ip host 192.168.0.251 any
access-list in_acl extended permit ip host xxxxxxx any
access-list in_acl extended permit ip host 192.168.0.51 any
access-list in_acl extended permit ip host 192.168.1.240 any
access-list in_acl extended permit ip host 192.168.1.253 any
access-list in_acl extended permit ip host 192.168.1.252 any
access-list in_acl extended permit ip host 192.168.1.251 any
access-list in_acl extended permit ip host 192.168.1.195 any
access-list in_acl extended permit ip host 192.168.1.51 any
access-list in_acl extended permit ip host 192.168.0.205 any
access-list in_acl extended permit tcp any host xxxxxxx eq 3389
access-list no_nat_ins extended permit ip xxxxxxx xxxxxxx host xxxxxxx
access-list no_nat_ins extended permit ip xxxxxxx xxxxxxx xxxxxxx xxxxxxx
access-list no_nat_ins extended permit ip 172.16.2.0 xxxxxxx xxxxxxx xxxxxxx
access-list dmz_acl extended permit udp host xxxxxxx host xxxxxxx eq domain
access-list dmz_acl extended permit ip host xxxxxxx any
access-list dmz_acl extended permit ip host xxxxxxx host xxxxxxx
access-list dmz_acl extended permit icmp host xxxxxxx any
access-list nat_acl extended permit udp host xxxxxxx any eq domain
access-list nat_acl extended permit tcp host 192.168.0.19 any eq smtp
access-list nat_acl extended permit tcp host 192.168.0.19 any eq pop3
access-list nat_acl extended permit tcp host xxxxxxx any eq smtp
access-list nat_acl extended permit tcp host 192.168.0.200 host xxxxxxx eq ftp
access-list nat_acl extended permit icmp host 192.168.0.200 host xxxxxxx
access-list nat_acl extended permit ip host 192.168.0.200 host xxxxxxx
access-list nat_acl extended permit ip host 192.168.0.200 host xxxxxxx
access-list nat_acl extended permit ip host 192.168.0.200 host xxxxxxx
access-list nat_acl extended permit ip host 192.168.0.200 host xxxxxxx
access-list nat_acl extended permit ip host 192.168.0.200 host xxxxxxx
access-list nat_acl extended permit ip host 192.168.0.200 host xxxxxxx
access-list nat_acl extended permit tcp host 192.168.0.200 host xxxxxxx eq ftp
access-list nat_acl extended permit tcp host 192.168.0.200 host xxxxxxx eq ftp
access-list nat_acl extended permit ip host 192.168.0.200 any
access-list nat_acl extended permit tcp host xxxxxxx host xxxxxxx eq ftp
access-list nat_acl extended permit tcp host 192.168.0.66 any eq ftp
access-list nat_acl extended permit tcp host 192.168.0.66 any eq smtp
access-list nat_acl extended permit tcp host 192.168.0.66 any eq pop3
access-list nat_acl extended permit ip host xxxxxxx any
access-list nat_acl extended permit ip host 192.168.0.253 any
access-list nat_acl extended permit ip host 192.168.0.252 any
access-list nat_acl extended permit ip host 192.168.0.251 any
access-list nat_acl extended permit ip host xxxxxxx any
access-list nat_acl extended permit ip host 192.168.0.51 any
access-list nat_acl extended permit ip host 192.168.1.253 any
access-list nat_acl extended permit ip host 192.168.1.252 any
access-list nat_acl extended permit ip host 192.168.1.251 any
access-list nat_acl extended permit ip host 192.168.1.195 any
access-list nat_acl extended permit ip host 192.168.1.51 any
access-list nat_acl extended permit ip host 192.168.0.205 any
access-list nat_acl extended permit tcp any host xxxxxxx eq 3389
access-list outside_acl extended permit tcp any host xxxxxxx eq smtp
access-list outside_acl extended permit ip host xxxxxxx host xxxxxxx
access-list outside_acl extended permit icmp any host xxxxxxx
access-list outside_acl extended permit tcp host xxxxxxx host xxxxxxx eq 3389
access-list outside_acl extended permit tcp host xxxxxxx any eq xxxxxxx
access-list outside_acl extended permit tcp host xxxxxxx any eq xxxxxxx
access-list outside_acl extended permit tcp host xxxxxxx host xxxxxxx eq 3389
access-list outside_acl extended permit tcp host xxxxxxx host xxxxxxx eq 3389
access-list vpn_route extended permit ip xxxxxxx xxxxxxx xxxxxxx xxxxxxx
access-list vpn_route extended permit ip xxxxxxx xxxxxxx xxxxxxx xxxxxxx
access-list vpn_route extended permit ip xxxxxxx xxxxxxx xxxxxxx xxxxxxx
access-list 110 extended permit tcp host xxxxxxx host xxxxxxx eq 3389
access-list 110 extended permit tcp host xxxxxxx host xxxxxxx eq 338
pager lines 24
mtu inside 1500
mtu DMZ 1500
mtu outside 1500
ip local pool VPNpool xxxxxxx-xxxxxxx
asdm image flash:/asdm508.bin
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
...
...
: end

Вы собственно самое интересное пропустили, имхо.

Вы ACLы привели
Интерфейсы привели

А привезку ACLов к SecurityLevel - опустили

Так же интересна привязка к виртуальным консолям, т.к ограничивающе правило может быть и там

выкладываю вторую часть
ip local pool VPNpool 192.168.77.1-192.168.77.254
asdm image flash:/asdm508.bin
asdm history enable
arp timeout 14400
nat-control
global (outside) 1 interface
nat (inside) 0 access-list no_nat_ins
nat (inside) 1 access-list nat_acl
nat (DMZ) 0 xxxxxxxx xxxxxxxx
static (inside,outside) tcp xxxxxxxx 13000 xxxxxxxx 13000 netmask 255.255.255.255
static (inside,outside) xxxxxxxx xxxxxxxx netmask 255.255.255.255
access-group in_acl in interface inside
access-group dmz_acl in interface DMZ
access-group outside_acl in interface outside
route inside xxxxxxxx 255.255.255.0 xxxxxxxx 1
route inside 192.168.0.0 255.255.255.0 xxxxxxxx 1
route inside 192.168.1.0 255.255.255.0 172.16.1.2 1
route outside 0.0.0.0 0.0.0.0 xxxxxxxx 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server partnerauth protocol radius
aaa-server partnerauth (inside) host 192.168.0.195
timeout 5
key cisco123
group-policy vpn3000 internal
group-policy vpn3000 attributes
dns-server value 192.168.0.195
ipsec-udp enable
split-tunnel-policy tunnelspecified
split-tunnel-network-list value vpn_route
default-domain value arb.com
username vpnuser password dbZlaKnmx5Ec1GDh encrypted
username mtron password A4Y9v27TxW8cInHf encrypted
aaa authentication ssh console LOCAL
http server enable
http 192.168.0.9 255.255.255.255 inside
no snmp-server location
no snmp-server contact
snmp-server community public
snmp-server enable traps snmp authentication linkup linkdown coldstart
snmp-server enable traps syslog
crypto ipsec transform-set vpn_ts esp-des esp-md5-hmac
crypto ipsec security-association lifetime seconds 86400
crypto ipsec security-association lifetime kilobytes 4608000
crypto dynamic-map dynmap 10 set transform-set vpn_ts
crypto dynamic-map dynmap 10 set security-association lifetime seconds 86400
crypto dynamic-map dynmap 10 set security-association lifetime kilobytes 4608000
crypto dynamic-map dynmap 10 set reverse-route
crypto map eee 1000 ipsec-isakmp dynamic dynmap
crypto map eee interface outside
isakmp identity address
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash md5
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
isakmp policy 65535 authentication pre-share
isakmp policy 65535 encryption des
isakmp policy 65535 hash sha
isakmp policy 65535 group 2
isakmp policy 65535 lifetime 86400
tunnel-group DefaultRAGroup general-attributes
authentication-server-group (inside) none
tunnel-group vpn3000 type ipsec-ra
tunnel-group vpn3000 general-attributes
address-pool VPNpool
authentication-server-group (inside) LOCAL
default-group-policy vpn3000
tunnel-group vpn3000 ipsec-attributes
pre-shared-key *
telnet timeout 5
ssh xxxxxxxx 255.255.255.255 outside
ssh xxxxxxxx 255.255.255.255 outside
ssh xxxxxxxx 255.255.255.240 outside
ssh xxxxxxxx 255.255.255.252 outside
ssh xxxxxxxx 255.255.255.252 outside
ssh timeout 5
ssh version 1
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect http
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
!
service-policy global_policy global
Cryptochecksum:dffdec037ea69ed35ff83b63e52525f1
: end

Вот, кстати, выведено управление по http


Добавте в список свою рабочую станцию и будет счастье

ну мой ip 192.168.1.187
получается мне надо добавить строку?

access-list in_acl extended permit ip host 192.168.1.187 any

Извеняюсь. может и вопрос глупый. но я правда незнаю

Да.

Я рекомендую вам прочесть вот это
http://www.infanata.org/2006/06/27/u...ejj_cisco.html

спасибо большое буду пробовать

Если я правильно помню, то тут еще должны определяться сети из которых можно работать по ssh
Ваша сеть должна там быть

у меня локальная сеть 192.168.1.1-192.0.1.255
чтобы разрешить например для 200 адресса доступ получается так
?
ssh 192.168.1.200 255.255.255.240 outside

Не может быть такой сети.

2) Думаю, вам всетаки крайне желательно книжечку почитать.
У вас, большие пробелы, в базовых знаниях.
Нельзя в таком состоянии за руль садиться :)

Если вы хотите выделить только свой хост, а не всю сеть, то:
ssh 192.168.1.200 255.255.255.255 outside

это будет разрешением заходить данному хосту при помощи ssh службы через следующий субинтерфейс

interface Ethernet0.3
vlan 5
nameif outside
security-level 0

И стучаться putty надо на данный IP
Т.е. вероятнее всего это для внешнего управления дырка

Для внутренних интерфейсов ничего нет, вероятнее всего разрешено всем изнутри (не помню просто)
Если не получится, то можно добавить

ssh 192.168.1.200 255.255.255.255 inside