Prosba o porade w udostepniniu ftp na pixie

[pietrucha]

W pix-sie 525 (wersja systemu 6.3(3)) zdefiniowalem strefe dmz
ip address udscdmz 172.16.1.241 255.255.255.240
Chce aby w niej byl umieszczony serwer ftp.
Postepujac zgodnie z instrukcjami (zawartymi w podreczniku Cisco secure pix firewalls)
serwerowi ftp przydzielilem ip 172.16.1.242 z maska 255.255.255.240 i brama 172.16.1.241.
poleceniem static zamapowalem ten wewnwtrzny adres na x.y.z.131:
static (udscdmz,internet) x.y.z.131 172.16.1.242 netmask 255.255.255.255 1500 0
poleceniem conduit zezwolilem dostep do tego serwera z zewnatrzm, z dowolnego kompa w necie:
conduit permit tcp host x.y.z.131 eq ftp any (hitcnt=0)
dodalem jescze dwa ustawienia nat/global dla tegoz serwera aby umozliwic wyjscie na zewnatrz:
nat (udscdmz) 2 172.16.1.242 255.255.255.255 0 0
global (internet) 2 x.y.z.131 netmask 255.255.255.255
Potem zapis do pamieci reboot firewalla.
po probie polaczenia sie z ftp-em dostaje komunikat o niemozliwosci polaczenia sie z serwerem
Co robie zle ze to nie dziala?
Nadmieniam, ze analogiczna konfiguracje znanlawlem we wsponianym podreczniku, tyle ze dotyczyla ona serwera www
Z gory dziekuje za pomoc

[sebu]

The FTP protocol requires some special handling due to its use of two ports per FTP session. The FTP protocol uses two ports when activated for transferring data: a control channel and a data channel that uses port 21 and 20, respectively. The user, who initiates the FTP session over the control channel, makes all data requests through that channel. The FTP server then initiates a request to open a port from server port 20 to the user's computer. FTP always uses port 20 for data channel communications. If FTP inspection has not been enabled on the Security Appliance, this request is discarded and the FTP sessions do not transmit any requested data. If FTP inspection is enabled on the Security Appliance, the Security Appliance monitors the control channel and tries to recognize a request to open the data channel. The FTP protocol embeds the data-channel port specifications in the control channel traffic, requiring the Security Appliance to inspect the control channel for data-port changes. If the Security Appliance recognizes a request, it temporarily creates an opening for the data-channel traffic that lasts for the life of the session. In this way, the FTP inspection function monitors the control channel, identifies a data-port assignment, and allows data to be exchanged on the data port for the length of the session.

jesli to stary pix z softem 6.3 lub starszym potrzebujesz jeszcze:

fixup protocol ftp 21

jesli nowszy 7.0+ to wlacz inspekcje ftp w global_policy
link

Note: The conduit command has been superseded by the access-list command. Cisco recommends that you migrate your configuration away from the conduit command to maintain future compatibility.

[pietrucha]

Jak juz pisalem wersja systemu na pixie jest 6.3. a
fixup protocol ftp 21 - jest ten wpis w konfiguracji
Z zacytowanego przez Ciebie tekstu wynikam ze uzywany jest rowniez port 20
Moze trzeba dopisac:
fixup protocol ftp 20

[Seba]

Zapomnij o conduit i zrob filtracje na ACL.

[pietrucha]

OK sprobuje i dam znac czy pomoglo

[sebu]

Z zacytowanego przez Ciebie tekstu wynikam ze uzywany jest rowniez port 20

to zalezy od trybu pracy serwera FTP [active/passive]
w trybie pasywnym porty sa negocjowane dynamicznie przez kanal kontrolny [tcp/21] i tu powininen zadzialac fixup

[pietrucha]

Zapomnij o conduit i zrob filtracje na ACL.

ustawilem aclke w nastepujacy sposob:
static (udscdmz,internet) x.y.z.131 172.16.1.242 netmask 255.255.255.255 1500 0
access-list 102 permit tcp any host x.y.z.131 eq ftp
access-group 102 in interface internet (analogicznie jak jest podane dla serwera www w pix_63_cmd) i nadal nie ma polaczenia z tym serwerem.
Nadmieniam ze wylaczylem pingowanie na wszystkich interfejsach.
Gdzie zrobilem blad?

[pietrucha]

Z zacytowanego przez Ciebie tekstu wynikam ze uzywany jest rowniez port 20

to zalezy od trybu pracy serwera FTP [active/passive]
w trybie pasywnym porty sa negocjowane dynamicznie przez kanal kontrolny [tcp/21] i tu powininen zadzialac fixup

wydaje mi sie ze na ogol pracuja w trtybie pasywnym bo w kliencie ftp trzeba wolczyc tryb passive

[sebu]

daj outputy komend:

show xlate
show run int
show route
show access-group
show access-list

wlacz debug fixup i poogladaj czy cos sie dzieje

[Seba]

Taka szalona mysl, a moze serwer nie dokonca wie gdzie wyslac pakiety (default gw), albo ma ogranicznenia skad moga pochodzic wywolania FTP.
Ogolnie nawet bez fixup polaczenie po porcie kontrolnym powinno nastapic, a co bedzie dalej to juz inna kwestia (czytaj, ze kanal data nie zadziala)

[pietrucha]

Taka szalona mysl, a moze serwer nie dokonca wie gdzie wyslac pakiety (default gw), albo ma ogranicznenia skad moga pochodzic wywolania FTP.
Ogolnie nawet bez fixup polaczenie po porcie kontrolnym powinno nastapic, a co bedzie dalej to juz inna kwestia (czytaj, ze kanal data nie zadziala)

jutro sprawdze ustawienia serwera.
Z sieci dmz moge wychodzic w swiat.
Czy nastepujace ustawienie dla interfejsu dmz:
icmp deny any udscdmz
moze blokowac przychodzenie pakietow ftp mimo ze blokuje tylko pingi?
Jeszcze jedna rzecz
ruting mam ustawiony jak nastepuje:
route internet 0 0 x.y.z.129 1 i jest on ustawiony dla zewnetrznego interfejsu o nazwie internet. Czy moze jeszcze ustawic ruting dla dmz tylko jak?
Moze dopisac po prostu:
route udscdmz 0 0 x.y.z.129 ?

[Seba]

Default dla PIX jest przez internet (z tego co zrozumialem) i tego nie zmieniamy; to o czym pisalem w poprzednim poscie to kwestia routingu na serwerze, ale z tego co piszesz to chyba jest ok, skoro do neta wychodzi.
ICMP nie ma tu znaczenia.

[pietrucha]

Default dla PIX jest przez internet (z tego co zrozumialem) i tego nie zmieniamy; to o czym pisalem w poprzednim poscie to kwestia routingu na serwerze, ale z tego co piszesz to chyba jest ok, skoro do neta wychodzi.
ICMP nie ma tu znaczenia.

wczoraj jeszcze moglem wychodzic z dmz na swiat dzis juz nie.
mam ustawione rutowanie defoltowe:
route internet 0.0.0.0 0.0.0.0 x.y.z.129 1. (internet tak nazywa sie interfejs wyjsciwy)
czy trzeba jeszcze dodatkowo wpisac ruting dla strefy dmz (udscdmz)?
W przykladowej konfiguracji dla trzech interfejsow (w manualu) jest podana tylko jeden routin - defoltowy.
Oto cala konfiguracja - moze tam cos jest sknocone ze nie mozna juz wychodzic do innternetu z dmz-tu. Od wczoraj nic nie zmienialem w konfiguracji.
PIX Version 6.3(3)
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 100full
interface ethernet3 auto shutdown
interface ethernet4 auto shutdown
interface ethernet5 auto shutdown
nameif ethernet0 internet security0
nameif ethernet1 udsclan security99
nameif ethernet2 udscdmz security50
nameif ethernet3 intf3 security6
nameif ethernet4 intf4 security8
nameif ethernet5 intf5 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd FsvOvMn1vqQKmSXg encrypted
hostname zapora-sieciowa
fixup protocol dns maximum-length 512
fixup protocol ftp 20
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
access-list 102 permit tcp any host x.y.z.131 eq ftp
pager lines 24
icmp deny any internet
icmp deny any udsclan
icmp deny any udscdmz
mtu internet 1500
mtu udsclan 1500
mtu udscdmz 1500
mtu intf3 1500
mtu intf4 1500
mtu intf5 1500
ip address internet x.y.z.130 255.255.255.128
ip address udsclan 192.168.1.1 255.255.255.0
ip address udscdmz 172.16.1.241 255.255.255.240
no ip address intf3
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address internet
no failover ip address udsclan
no failover ip address udscdmz
no failover ip address intf3
no failover ip address intf4
no failover ip address intf5
pdm history enable
arp timeout 14400
global (internet) 1 x.y.z.132 netmask 255.255.255.255
global (internet) 2 x.y.z.131 netmask 255.255.255.255
nat (udsclan) 1 192.168.1.0 255.255.255.0 0 0
nat (udscdmz) 2 172.16.1.242 255.255.255.255 0 0
static (udscdmz,internet) x.y.z.131 172.16.1.242 netmask 255.255.255.255 1
500 0
access-group 102 in interface internet
established tcp 135 0 permitto tcp 1024-65535 permitfrom tcp 0
route internet 0.0.0.0 0.0.0.0 x.y.z.129 1
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
tftp-server udsclan 192.168.1.20 /konfiguracje
floodguard enable
fragment chain 1 internet
fragment chain 1 udsclan
telnet timeout 5
ssh timeout 3
console timeout 0
dhcpd address 192.168.1.64-192.168.1.254 udsclan
dhcpd dns 194.204.152.34 194.204.159.1
dhcpd lease 2600000
dhcpd ping_timeout 750
dhcpd enable udsclan
terminal width 80
Cryptochecksum:53001f458587a10a48450b34e7452e0b

[sebu]

a po co ci nat, global i static dla DMZ jesli wszystko robisz dla jednego hosta z maska /32 ?
moze tu sie gryzie

wyrzuc nat i global dla dmz, zostaw static-a i zrob clear xlate

lub

zostaw nat i global, a statickiem przekieruj tylko te porty ktore maja byc wystawione do internetu

[pietrucha]

a po co ci nat, global i static dla DMZ jesli wszystko robisz dla jednego hosta z maska /32 ?
moze tu sie gryzie

wyrzuc nat i global dla dmz, zostaw static-a i zrob clear xlate

lub

zostaw nat i global, a statickiem przekieruj tylko te porty ktore maja byc wystawione do internetu

Wlasnie zrobilem to pierwsze - wywalilem nat/global dla dmzta ( nawet zrestartowalem firewalla) i nie moge wyjsc do internetu. A wczoraj jeszcze bylo ok - moglem z obu interfejsow wychodzic na internet