|
| Ny Cisco Firewall Pix 501 Fra : Robert Petersen |
Dato : 01-12-04 12:00 |
|
Hej med jer.
Jeg blev anbefalet at Computerstore at udskifte min gamle Office Connect
Firewall (3COM) med en ny Cisco, da jeg skal igang med at bruge noget VPN
tunnel, da vi skal kunne logge på hjemmefra og arbejde med et nyt CRM
system...
Men pyha... lige nu er vi kommet online med den, men er du da helt vild med
indstillingsmuligheder der på sådan en ny firewall... med den gamle havde
jeg 4 menuer, og følte er overblik... Nu er jeg så blevet temmelig nervøs,
da jeg faktisk ikke aner om den er konfiguret ordenligt eller ej.
Så ganske kort fortalt... Kan I anbefale en skrap gut, i nærheden af
Køge-Stevns området, som mod betaling, kan komme og konfigurerer denne
firewall samt VPN ?
Hilsen Robert
| |
Asbjorn Hojmark (01-12-2004)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 01-12-04 16:53 |
|
On Wed, 1 Dec 2004 11:59:37 +0100, "Robert Petersen"
<veng_spam_@post3.tele.dk> wrote:
> Så ganske kort fortalt... Kan I anbefale en skrap gut, i nærheden af
> Køge-Stevns området, som mod betaling, kan komme og konfigurerer denne
> firewall samt VPN ?
http://tools.cisco.com/WWChannels/LOCATR/jsp/partner_locator.jsp
HTH,
-A
| |
Christian E. Lysel (01-12-2004)
| Kommentar Fra : Christian E. Lysel |
Dato : 01-12-04 17:55 |
|
"Robert Petersen" <veng_spam_@post3.tele.dk> wrote in message news:<Auhrd.38$9R.1@news.get2net.dk>...
> Så ganske kort fortalt... Kan I anbefale en skrap gut, i nærheden af
> Køge-Stevns området, som mod betaling, kan komme og konfigurerer denne
> firewall samt VPN ?
Hvad siger Computerstore som anbefalde firewallen?
Du kan finde dokumentation og forslag til opsætning af konfigurationen på
cisco's hjemmeside.
--
Mvh.
Christian E. Lysel
http://www.spindelnet.dk/
| |
Søren Nielsen (02-12-2004)
| Kommentar Fra : Søren Nielsen |
Dato : 02-12-04 00:29 |
|
Hej,
Den ser ganske fornuftig ud, er der en der ved hvordan den er i forhold til
f.eks ZyWall 2?
Jeg tænker på instillingsmuligheder og sikkerhed mm.
Kan man under NAT sætte en enkel port til ikke at benytte NAT. Altså en port
der er åbnet så den kan modtage pakker ude fra samtidig med at de pakker der
udsendes fra den bevarer det pågældende portnummer. Altså ikke får påduttet
et tilfældigt portnummer som de udgående pakkerne ofte får når der benyttes
NAT.
Hilsen
Søren.
"Robert Petersen" <veng_spam_@post3.tele.dk> skrev i en meddelelse
news:Auhrd.38$9R.1@news.get2net.dk...
> Hej med jer.
>
> Jeg blev anbefalet at Computerstore at udskifte min gamle Office Connect
> Firewall (3COM) med en ny Cisco, da jeg skal igang med at bruge noget VPN
> tunnel, da vi skal kunne logge på hjemmefra og arbejde med et nyt CRM
> system...
>
> Men pyha... lige nu er vi kommet online med den, men er du da helt vild
med
> indstillingsmuligheder der på sådan en ny firewall... med den gamle havde
> jeg 4 menuer, og følte er overblik... Nu er jeg så blevet temmelig nervøs,
> da jeg faktisk ikke aner om den er konfiguret ordenligt eller ej.
>
> Så ganske kort fortalt... Kan I anbefale en skrap gut, i nærheden af
> Køge-Stevns området, som mod betaling, kan komme og konfigurerer denne
> firewall samt VPN ?
>
> Hilsen Robert
>
>
| |
Povl H. Pedersen (03-12-2004)
| Kommentar Fra : Povl H. Pedersen |
Dato : 03-12-04 00:48 |
|
In article <41ae5317$0$295$edfadb0f@dread11.news.tele.dk>, Søren Nielsen wrote:
> Kan man under NAT sætte en enkel port til ikke at benytte NAT. Altså en port
> der er åbnet så den kan modtage pakker ude fra samtidig med at de pakker der
> udsendes fra den bevarer det pågældende portnummer. Altså ikke får påduttet
> et tilfældigt portnummer som de udgående pakkerne ofte får når der benyttes
> NAT.
Hvis du har flere adresser, så ja :)
Den kan lave stort set det du har lyst til med IP pakker, vist
nok inklusive at kigge på bitmønstre i headers.
Det du gerne vil, er det at tillade maskine A og B på indersiden
at åbne forbindelse ud til port 80 på C, hvor A og B begge ser
ud til at komme fra port 80 på din ydre adresser ?
Og samtidig skal maskine D på indersiden lytte på trafik
uderfra til port 80.
Hvis dette sker, så er det meget vanskeligt for routeren at
se hvem der skal have returpakken. Så skal den ind og tracke
sequence numbers i IP pakkerne. Hvis du vil det, så skal du nok
kode lidt på en Linux box.
--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Fastnet - IP telefoni: 5 kr/md Se http://www.musimi.dk
| |
Søren Nielsen (03-12-2004)
| Kommentar Fra : Søren Nielsen |
Dato : 03-12-04 19:37 |
|
Det jeg gerne vil er følgende: Jeg har en WAN IP adresse og en PC. Maskine A
er min maskine, den sender en pakke (fra LAN siden) til maskine B (På WAN
siden). Maskine B er en telefon server.
Der er lavet port forwarding så pakker på port x på Maskine A kan komme
uhindret igennem fra WAN siden.
Når maskine A sender en tilslutningspakke til maskine B sendes den fra port
x, men port x får af routeren påhæftet en anden retur port adresse y, som
registreres i maskine B. B sender nu et svar til A på port y og det virker
fint. y ændres i routeren til x og A modtager pakken.
B har nu registreret at den kan få fat i A via port y.
Næste gang B skal sende en pakke til A sender den pakken til port y, men den
kommer ikke igennem da der ikke er lavet en port forwarding regl for den
tilfældige port y.
Det jeg ønsker er at når der laves en port forwarding regel så bevares port
x ID for udgående pakker.
Søren.
>
> Det du gerne vil, er det at tillade maskine A og B på indersiden
> at åbne forbindelse ud til port 80 på C, hvor A og B begge ser
> ud til at komme fra port 80 på din ydre adresser ?
> Og samtidig skal maskine D på indersiden lytte på trafik
> uderfra til port 80.
>
> Hvis dette sker, så er det meget vanskeligt for routeren at
> se hvem der skal have returpakken. Så skal den ind og tracke
> sequence numbers i IP pakkerne. Hvis du vil det, så skal du nok
> kode lidt på en Linux box.
>
> --
> Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
> Fastnet - IP telefoni: 5 kr/md Se http://www.musimi.dk
| |
Povl H. Pedersen (04-12-2004)
| Kommentar Fra : Povl H. Pedersen |
Dato : 04-12-04 00:54 |
|
In article <41b0b1fa$0$196$edfadb0f@dread11.news.tele.dk>, Søren Nielsen wrote:
> Det jeg gerne vil er følgende: Jeg har en WAN IP adresse og en PC. Maskine A
> er min maskine, den sender en pakke (fra LAN siden) til maskine B (På WAN
> siden). Maskine B er en telefon server.
>
> Der er lavet port forwarding så pakker på port x på Maskine A kan komme
> uhindret igennem fra WAN siden.
>
> Når maskine A sender en tilslutningspakke til maskine B sendes den fra port
> x, men port x får af routeren påhæftet en anden retur port adresse y, som
> registreres i maskine B. B sender nu et svar til A på port y og det virker
> fint. y ændres i routeren til x og A modtager pakken.
>
> B har nu registreret at den kan få fat i A via port y.
>
> Næste gang B skal sende en pakke til A sender den pakken til port y, men den
> kommer ikke igennem da der ikke er lavet en port forwarding regl for den
> tilfældige port y.
Så du taler om forskellige datastrømme, uden sammenhæng. En
tidligere fremsendt pakke tillader en senere indkommende pakke på
såmme port. Det lyder mystisk. Find i stedet noget der supporterer
din protokol, og kan lave det på lag 7.
Cisco kan håndtere mange ting. Hvis det er noget Skype Hype, så
er er du selv ude om at du ikke har valgt en standard
> Det jeg ønsker er at når der laves en port forwarding regel så bevares port
> x ID for udgående pakker.
Kan godt laves, men ved ikke om det kan ske sammen med NAT.
--
Povl H. Pedersen - NoSpam@my.terminal.dk (yes - it works)
Fastnet - IP telefoni: 5 kr/md Se http://www.musimi.dk
| |
Asbjorn Hojmark (04-12-2004)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 04-12-04 09:53 |
|
On Thu, 2 Dec 2004 00:29:29 +0100, "Søren Nielsen" <SørenxxN@ofir.dk>
wrote:
> Kan man under NAT sætte en enkel port til ikke at benytte NAT.
Nja, du kan lave en statisk mapping af den pågældende port (fx fra
1234 til 1234). Det virker i begge retninger, så udgående trafik vil
virke på samme måde.
-A
| |
Nicolaj Larsen (04-12-2004)
| Kommentar Fra : Nicolaj Larsen |
Dato : 04-12-04 15:01 |
|
Hvis du laver en SUA regel, også kaldet port forwarding på fx port 1234 til
1234 så
udsendes pakken godt nok fra port 1234, men den har et tilfældigt retur
portnummer, der
så er åbent for lige denne session.
Er der forskel på det du kalder statisk mapping og det jeg kender som port
forwarding.?
Nicolaj.
"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:4mu2r0tgh4abtl9ogv7ama33jq7vn7javk@news.sunsite.dk...
> On Thu, 2 Dec 2004 00:29:29 +0100, "Søren Nielsen" <SørenxxN@ofir.dk>
> wrote:
>
> > Kan man under NAT sætte en enkel port til ikke at benytte NAT.
>
> Nja, du kan lave en statisk mapping af den pågældende port (fx fra
> 1234 til 1234). Det virker i begge retninger, så udgående trafik vil
> virke på samme måde.
>
> -A
| |
Asbjorn Hojmark (04-12-2004)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 04-12-04 17:36 |
|
On Sat, 4 Dec 2004 15:00:40 +0100, "Nicolaj Larsen" <NSL@sol.dk>
wrote:
> Hvis du laver en SUA regel
Jeg laver ikke noget SUA. Det er en PIX, ikke en ZyXEL-kasse.
> også kaldet port forwarding på fx port 1234 til 1234 så udsendes
> pakken godt nok fra port 1234, men den har et tilfældigt retur
> portnummer, der så er åbent for lige denne session.
Nej. Hvis man har lavet en mapping udefra fra 1234 til 1234, så vil en
pakke indefra, der har source-port 1234, forlade PIXen med source-port
1234. Hvis PIXen lavede om på det, ville det ikke jo slet ikke virke
for indgående trafik.
Og læs så: http://www.usenet.dk/netikette/citatteknik.html
-A
| |
Nicolaj Larsen (05-12-2004)
| Kommentar Fra : Nicolaj Larsen |
Dato : 05-12-04 13:16 |
|
> Jeg laver ikke noget SUA. Det er en PIX, ikke en ZyXEL-kasse.
OK, jeg er ikke mester i emnet endnu, men har set at en PIX 501 også er en
"kasse"
så hentyder du bare til at ZyWall ikke er samme gode produkt?
Iøvrigt skriver de at man skal have en licens til den og man skal bruge PW
for at hente software til den, det virker lidt omstændigt.
> Nej. Hvis man har lavet en mapping udefra fra 1234 til 1234, så vil en
> pakke indefra, der har source-port 1234, forlade PIXen med source-port
> 1234. Hvis PIXen lavede om på det, ville det ikke jo slet ikke virke
> for indgående trafik.
Mit spørgsmål kom faktisk på grund af nedenstående problem der er opstået
efter jeg købte en
ZyWall, men når man ikke ved bedre så... Lidt irreterende når prisen er
nogenlunde det samme.
Jeg vil blive glad hvis du kan give mig et prej om hvad der kan være årsagen
til problemet, der er åbenbart mange måder
en NAT funktion kan fungere på efter som hvad produkt man vælger. NAT er
ikke bare NAT...
Hilsen
Nicolaj.
Problem:
Normalt skulle Picophone server godt kunne arbejde med NAT routere, men min
nye Zywall 2 router har jeg et problem med.
Hvis du kalder mig direkte fra den ene Picephone til den anden fungerer det
fint, for SAU server reglen (Port Forwarding) fungerer fint, og et direkte
kald kommer ind på port 11676. ( som er Picophones arbejds port)
Men slutter jeg mig til PicoServeren sker der følgende: Min picophone sender
en pakke til serveren med brugernavn og password, her
kommer NAT funktion ind i billede. Pakken har nemlig fået et
tilfældigt portnummer som retursvaret (OK fra server) skal sendes tilbage
til. Det fungere fordi der i routeren er oprettet en besked om at pakken vil
komme retur på den givne port, og den får lov at komme ind. Men herefter er
der lukket for indgående pakker.
På serveren kan man se følgende:
Brugernavn: XX
IP Adresse: 62.243.110.128
Port: 10080
Privat Adresse: 192.168.1.33
Privat Port 11676
Men serveren har nu registreret at jeg har min Picophone bag det portnummer
(i dette tilfælde 10080), og da det er et, af routeren, tilfældigt valgt
portnummer
ligger der jo ikke en port forwarding (SUA server) regel her, og opkald
kommer ikke igennem når en person forsøger at kalde mig via Picoserveren.
Hvis serveren havde registreret port 11676 både for WAN og
LAN addressen kom kaldet ind på port 11676 og det virkede.
>
>
> Og læs så: http://www.usenet.dk/netikette/citatteknik.html
>
> -A
| |
Niels Callesøe (05-12-2004)
| Kommentar Fra : Niels Callesøe |
Dato : 05-12-04 14:02 |
|
Nicolaj Larsen wrote in
<news:41b2fc45$0$200$edfadb0f@dread11.news.tele.dk>:
>> Jeg laver ikke noget SUA. Det er en PIX, ikke en ZyXEL-kasse.
>
> OK, jeg er ikke mester i emnet endnu, men har set at en PIX 501
> også er en "kasse"
> så hentyder du bare til at ZyWall ikke er samme gode produkt?
Nu skal jeg ikke svare for Asbjorn, men det er ret standard
administrator-terminologi for "en generisk (ikke-specifik) enhed af
mærket [x]". En PIX er således en Cisco-kasse, på samme måde som din
firewall er en Zyxel-kasse. I mere avanceret brug kan andre typer
beholdere eller slang for motor-køretøjer også anvendes.
Din Zyxel-dåse kan selvfølgelig sagtens være en værre bambus-boks, men
det siger udtrykket "kasse" alene ikke noget om[0].
[0]: Bemærk hvordan du her lærer flere fagtermer. Usenet er fantastisk.
Prøv at bruge dem når din chef spørger næste gang.
--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php
First rule of Cuddle Club: no dry humping!
| |
Asbjorn Hojmark (05-12-2004)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 05-12-04 19:01 |
|
On Sun, 5 Dec 2004 13:16:19 +0100, "Nicolaj Larsen" <NSL@sol.dk>
wrote:
> så hentyder du bare til at ZyWall ikke er samme gode produkt?
Nej, bare at de kalder det noget andet.
> Iøvrigt skriver de at man skal have en licens til den og man skal
> bruge PW for at hente software til den, det virker lidt omstændigt.
Altså PIX'en? Det er rigtigt, man skal have en aktiv servicekontrakt
med Cisco plus et brugernavn og password til Cisco.com for at hente
software. Hvis man ikke har det, må man få forhandleren til at hente
det til en.
Det kan godt virke lidt bøvlet, hvis man sammenligner med et typisk
produkt til privatbrugere; det har du ret i.
> Mit spørgsmål kom faktisk på grund af nedenstående problem der er
> opstået efter jeg købte en ZyWall, men når man ikke ved bedre så...
Jeg kan ikke svare dig på, hvordan du skal konfigurere din ZyXEL-ting,
for jeg kender den ikke.
Generelt kan jeg sige, at du skal lave en statisk mapping af en port
fra yderside til inderside. Picophone bruger default 11676/udp, og den
skal du mappe ind til den pc, du har Picophone kørende på.
Det lyder umiddelbart som om du blot har slået SUA til, og det er ikke
nok, som du har konstateret. SUA er en ZyXEL-term for dynamisk ændring
af portnumre, sådan som du beskriver det.
-A
| |
Martin Schultz (05-12-2004)
| Kommentar Fra : Martin Schultz |
Dato : 05-12-04 19:54 |
|
Asbjorn Hojmark <Asbjorn@Hojmark.ORG> skrev 2004-12-05:
> Det lyder umiddelbart som om du blot har slået SUA til, og det er ikke
> nok, som du har konstateret. SUA er en ZyXEL-term for dynamisk ændring
> af portnumre, sådan som du beskriver det.
SUA er zyxel sprog for NAT med en(1) offentlig IP adresse
Martin
--
Besøg http://www.adsltips.dk for guider til
ADSL og opsætning af Cisco/Zyxel/Aethra routere.
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.
| |
Asbjorn Hojmark (05-12-2004)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 05-12-04 19:56 |
|
On 05 Dec 2004 18:53:45 GMT, Martin Schultz
<news2004@adsltips.invalid> wrote:
>> Det lyder umiddelbart som om du blot har slået SUA til, og det er ikke
>> nok, som du har konstateret. SUA er en ZyXEL-term for dynamisk ændring
>> af portnumre, sådan som du beskriver det.
> SUA er zyxel sprog for NAT med en(1) offentlig IP adresse
Ja, og det kræver, at man ændrer portnumrene...
-a
| |
Nicolaj Larsen (05-12-2004)
| Kommentar Fra : Nicolaj Larsen |
Dato : 05-12-04 20:32 |
|
>
> Det lyder umiddelbart som om du blot har slået SUA til, og det er ikke
> nok, som du har konstateret. SUA er en ZyXEL-term for dynamisk ændring
> af portnumre, sådan som du beskriver det.
>
> -A
Hej A,
Mange tak for dine svar
Jeg har skam oprettet regler for de porte som skal forwardes fra WAN siden
til LAN siden.
Først har jeg lavet en firewall regl, så pakker til port 11676 får lov at
komme igennem.
Dernæst har jeg lavet en SUA Server regel for port 11676 så pakker der
kommer ind på
port 11676 bliver routet til den lokale IP adresse og til port 11676.
Problemet er at der i min Zywall ikke umiddelbart er mulighed for at bevarer
portnummeret
når en pakke går ud af maskinen. Jeg har den opfattelse at når jeg har lavet
en Server regel
(port Forwarding) så skal portnummeret bevares for udgående pakker, men det
gør den ikke.
Hermed mener jeg at pakker sendt fra min maskine fra port 11676 skal vise at
de også skal retuneres til port
11676.
En tanke:
I produkter hvor der kun er en NAT fungerer det måske fordi der opstår en
blivende "session" i routeren
der holder den "tilfældige" port åben for indkomne pakker. Hvis routeren
f.eks siger alt jeg sender ud fra
port 11676 sender jeg ud på port 23444, og alt der kommer ind på port 23444
sendes til port 11676, alt sammen
så længe maskinen er tændt den dag.
Fandt dette på ZyWalls Engelske side, od det viser tydeligt hvordan det
virker, men som sagt burde
en SUA server regel frakoble at porten ændres.:
Hilsen
Nicolaj
What is SUA? When should I use SUA?
SUA (Single User Account) is a unique feature supported by ZyWALL router
which allows multiple people to access Internet concurrently
for the cost of a single user account.
When ZyWALL acting as SUA receives a packet from a local client destined for
the outside Internet, it replaces the source address in the
IP packet header with its own address and the source port in the TCP or UDP
header with another value chosen out of a local pool. It
then re-computes the appropriate header checksums and forwards the packet to
the Internet as if it is originated from ZyWALL using the
IP address assigned by ISP. When reply packets from the external Internet
are received by ZyWALL, the original IP source address and
TCP/UDP source port numbers are written into the destination fields of the
packet (since it is now moving in the opposite direction),
the checksums are recomputed, and the packet is delivered to its true
destination. This is because SUA keeps a table of the IP addresses
and port numbers of the local systems currently using it.
| |
Asbjorn Hojmark (05-12-2004)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 05-12-04 19:32 |
|
On Sun, 5 Dec 2004 13:16:19 +0100, "Nicolaj Larsen" <NSL@sol.dk>
wrote:
Nu kedede jeg mig lige, så prøv at se http://tinyurl.com/6vypf. Der er
en tilsyneladende udmærket forklaring på, hvordan man mapper porter i
din ZyWALL-ting.
-A
| |
pierre.cox@mail.dk (12-12-2004)
| Kommentar Fra : pierre.cox@mail.dk |
Dato : 12-12-04 01:16 |
|
Den er UTROLIG god.
Den er ikke svær at sætte op og jeg ved der findes en konfiguration på
nettet. Har engang fundet en.
Du skal ikke sætte den op via GUI men gå ind i en prompt..
Og husk at gemme konfiguration. :D
On Wed, 1 Dec 2004 11:59:37 +0100, "Robert Petersen"
<veng_spam_@post3.tele.dk> wrote:
>Hej med jer.
>
>Jeg blev anbefalet at Computerstore at udskifte min gamle Office Connect
>Firewall (3COM) med en ny Cisco, da jeg skal igang med at bruge noget VPN
>tunnel, da vi skal kunne logge på hjemmefra og arbejde med et nyt CRM
>system...
>
>Men pyha... lige nu er vi kommet online med den, men er du da helt vild med
>indstillingsmuligheder der på sådan en ny firewall... med den gamle havde
>jeg 4 menuer, og følte er overblik... Nu er jeg så blevet temmelig nervøs,
>da jeg faktisk ikke aner om den er konfiguret ordenligt eller ej.
>
>Så ganske kort fortalt... Kan I anbefale en skrap gut, i nærheden af
>Køge-Stevns området, som mod betaling, kan komme og konfigurerer denne
>firewall samt VPN ?
>
>Hilsen Robert
>
| |
|
|