Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

Deux problèmes avec mon pix 525

Bonjour, C'est ma premiere participation avec vous, et j'espère etre un aimable invité parmi vous, j'ai deux problèmes avec mon pix 525, et j'espère avoir votre soutien svp 1- J'ai un routeur liée directement à une interface du pix, je veux faire des telnet à partir du pix pour administrer le routeur? mais je n'arrive pas à le faire? comment ? 2- je veux activer les pings entre les interfaces du pix c à d un poste de l'inside d'adresse 192.168.1.10 peut faire des pings sur un poste sur la dmz d'adresse ip 192.168.2.10 par défaut tous les protocomes sont autorsié de inside vers la dmz et tous sont bloqué dans le sens contraire. quand j'ajoute une acl pour autoriser les ping de l'inside vers la dmz, je pert tous les accès j'attends votre aide qui me servira beacoup Merci d'avance

Salut, Je vais essayer de répondre à tes questions. 1- J'ai un routeur liée directement à une interface du pix, je veux faire des telnet à partir du pix pour administrer le routeur? mais je n'arrive pas à le faire? comment ? Pour l'administration de ton Pix je te conseil d'utiliser SSH, telnet ça fonctionne mais c'est pas sécur. Pour autoriser le telnet tu dois autoriser l'administration de l'équipement en telnet ou ssh via la commande suivante: ssh <ip ou sous réseau> <masque> <interface> telnet <ip ou sous réseau> <masque> <interface> 2- je veux activer les pings entre les interfaces du pix c à d un poste de l'inside d'adresse 192.168.1.10 peut faire des pings sur un poste sur la dmz d'adresse ip 192.168.2.10 par défaut tous les protocomes sont autorsié de inside vers la dmz et tous sont bloqué dans le sens contraire. Une question concernant le communication entre l'Inside et ta DMZ tu passe en NAT EXEMPT ou NAT ?? Pense également lorsque tu dis " par défaut tous les protocomes sont autorsié de inside vers la dmz et tous sont bloqué dans le sens contraire." sauf que ton pix est un pare-feu statefull, donc à moins que tu bloque toi même les flux de la DMZ vers l'Inside, ceux-ci ne devraient pas être bloqués puisque tu indique qu'une ACL permet de faire transiter le flux de l'Inside vers la DMZ. Vérifie plusieurs points également, - L'application des tes access-group à tes interfaces, - Qu'il n'y ai pas d'ACL contradictoire dans un même périmètre (exemple l'interface DMZ, INSIDE ...), - Les security level sur les interfaces, - L'application des règles de NAT Si tu pouvais montrer au moins la partie concernée, cela pourrait aider à y voir plus claire pour ton problème de ping. @+

Merci pour votre aimable reponse 1- en fait je veux administrer mon routeur à partir de mon pix, je le fait à partir d'un autre noeud du réseau mais pas à partir du pix. la commande telnet applique au pix permet juste d'autoriser les telnet sur le pix et pas à partir du pix 2- a- je passe par un nat sur ma dmz b- c'est quoi un pare-feu statefull c- je crée des ACL pour autoriser les pings mais ça na pas marché , est ce que je dois aussi autorisé les reponse icmp echo? d- Vérifie plusieurs points également, - L'application des tes access-group à tes interfaces, je croix que je les ai bien fait - Qu'il n'y ai pas d'ACL contradictoire dans un même périmètre (exemple l'interface DMZ, INSIDE ...), je croix que non - Les security level sur les interfaces, bien fait - L'application des règles de NAT j'ai du nat sur la dmz et sur outisde aussi

Salut, 1- en fait je veux administrer mon routeur à partir de mon pix, je le fait à partir d'un autre noeud du réseau mais pas à partir du pix. la commande telnet applique au pix permet juste d'autoriser les telnet sur le pix et pas à partir du pix effectivement vu comme ça tu ne pourras pas administrer tes équipements en utilisant Telnet. A ma connaissance sur un pare-feu cisco c'est pas réalisable puisque le module Telnet n'est pas effectif pour la prise en main d'autres équipements pour des raisons de sécu d'après Cisco. Bien ce ce cas de figure ne s'applique pas aux équipements de commutation et routage Cisco, eux permettent d'être pris en main et permettent la prise en main à distance via le module Telnet. 2- a- je passe par un nat sur ma dmz b- c'est quoi un pare-feu statefull voici de la lecture directement présente sur ce site. http://www.frameip.com/firewall/#2.2_-_Le_filtrage_de_paquet_avec_%C3%A9tat_(Stateful) c- je crée des ACL pour autoriser les pings mais ça na pas marché , est ce que je dois aussi autorisé les reponse icmp echo? La syntaxe autorisant les pings est la suivante (cas de figure généraliste). access-list <interface> extended permit icmp <source> <destination> Normalement cela doit suffire. Quelle type de NAT est ce que tu utilise pour communiquer du Lan vers ta DMZ ? @+