PPTP (Point-to-Point Tunneling Protocol) tramite PIX Firewall

Come passare il traffico PPTP attraverso un firewall PIX

Questa ricetta è obsoleta.


Questa ricetta è obsoleta. Vedi questo: http://www.tech-recipes.com/rx/2222/pptp_on_cisco_asa_or_pix_6_3_or_later_code.

I firewall Cisco PIX richiedono due elementi per trasferire il traffico dall'esterno (maggiore sicurezza) all'interno (protezione inferiore): una traduzione statica e un conduit.

Per questo esempio, supponiamo che un server abbia l'indirizzo IP 192.168.1.100 e che ci sia un indirizzo esterno disponibile di 1.1.1.1.

Innanzitutto, crea la traduzione statica. Questa linea di configurazione stabilisce una relazione tra 1.1.1.1 (indirizzo IP pubblico Internet) e 192.168.1.100 (interno, indirizzo IP privato).

static (inside, outside) 1.1.1.1 Maschera di rete 192.168.1.100 255.255.255.255 0 0

Quindi, creare conduit appropriati per consentire al traffico specifico di passare dall'esterno all'interfaccia Inside. PPTP utilizza TCP / 1723, TCP / 139, UDP / Netbios-NS, UDP / Netbios-DGM e IP / 47 GRE.

Questo non è necessario. Questo destinatario è obsoleto e basato su un vecchio documento.

permesso di conduit tcp 1.1.1.1 eq 1723 any
permesso di conduit host TCP 1.1.1.1 eq 139 any
conduit permette a udp host 1.1.1.1 eq 137 any
conduit permette a udp host 1.1.1.1 eq 138 any
conduit permit gre host 1.1.1.1 any

o
access-list 101 consente a tcp qualsiasi host 1.1.1.1 1723
access-list 101 consente a tcp qualsiasi host 1.1.1.1 139
access-list 101 permette ad udp qualsiasi host 1.1.1.1 137
access-list 101 permette ad udp qualsiasi host 1.1.1.1 138
access-list 101 permette a qualsiasi host 1.1.1.1
gruppo di accesso 101 nell'interfaccia esterna

Un paio di note:

    Nei conduit e negli access-list, il qualunque parola chiave consente di far corrispondere il traffico da qualsiasi indirizzo IP per passare attraverso il firewall. Questo dovrebbe essere sostituito con l'indirizzo IP di origine del tunnel PPTP, se possibile.

    Negli elenchi di accesso, verificare eventuali elenchi di accesso esistenti o altro traffico necessario prima di inserire l'ultima riga!

Alcune di queste informazioni provengono dalle FAQ di Cisco PPTP.