Cisco PIX: source IP based routing

Hálózati eszközök

Üdv,

Először is: nem értek PIX-hez (sajnos).

Lehet olyat csinálni, h. egy PIX-en a forrás IP cím alapján kivételeket kezeljek, azaz másfelé routoljak forgalmat, mint "normál" esetben (azaz van 2 db IP subnet, aminek a forgalmát másfelé akarom terelni, mint az összes többi másik IP subnetet)? Mi erre a helyes terminológia, a policy based routing?

  • 1454 megtekintés

( okcomputer44 | 2017. 05. 23., k – 17:02 )

Igen lehet ilyet csinalni.
Kb az osszes Cisco router es tuzfal tud ilyet hogy melyik IOS-tol van implementalva azt sajna nem tudom.
De ugy nezem hogy mar 2005-ben is volt nekik ilyen. http://www.cisco.com/c/en/us/support/docs/ip/border-gateway-protocol-bg…

Szoval itt van 1-2 pelda erre: http://www.ciscozine.com/pbr-route-a-packet-based-on-source-ip-address/
https://glennmatthys.wordpress.com/2012/04/24/policy-based-routing-exam…

"Kb az osszes Cisco router es tuzfal tud ilyet hogy melyik IOS-tol van implementalva azt sajna nem tudom."
A kérdező PIX-et (és ebből következően PIX OS, nem IOS) említett. Nem vagyok benne biztos, hogy akár a legutolsó 7.3 verzió is tudott volna PBR-t. A PIX sem egy mai széria... Tippem szerint az ASA 9.4(1)-től lenne PBR, de az meg már ugye nem PIX.

( fairlane | 2017. 05. 23., k – 20:27 )

A Cisco-s forumok olvasása alapján nem támogatott a Policy Based Routing a PIX-eken.
Egyébként mire használod? Nincs más helyette?

--------------------------------
...úgyis jönnek...

Milyen eszközök vannak a PIX-en kívül (pl. akár saját, akár szolgáltató által menedzselt CPE routerek, tűzfalak stb.)? Milyen hálózati kapcsolatok vannak? És végül: mi az ok, és mi az elérni kívánt cél? Valaki sokat forgalmaz? Vagy valakinek az adott külső IP-n kellene látszódnia a külvilág felé? Milyen licenc van a PIX-en? Nem lehet megoldani a kérdést 2 security contexttel?

Igen, a PBR a helyes válasz a kérdésedre.

Gondolom te is sejted, hogy ez az évszázad feladata. :)
A feltételek nem kedveznek neked (0 Ft költségvetés, 0 hozzáértés), de innen szép nyerni.

A PIX-szel való megoldást elvetném, inkább csak örülnék, hogy működik (EOL: 2013.07.27)
Egy router beillesztése sokat dobna a helyzeten, de csak abban az esetben, ha 0 Ft-ból ki tudod hozni és támogatja a PBR funkciót (típus teljesen mindegy, a lényeg a funkción van).

Egyébként egy Linuxos géppel simán megoldható (hálókártya X porttal), csak hát az valamennyi pénzbe kerül.

--------------------------------
...úgyis jönnek...

ISP<--> LAB intranet között van 2 db PIX sorbakötve, DMZ-Ext és DMZ-Int, vmi ismereteln ok szerint 2 elavult PIX 2x biztonságosabb mint 1 db elavult PIX. Én tudom h. már kukába kéne vágni azt a 2 PIX-et, aki üzemelteti az is tudja, de nem fogja lecserélni se routerre se linuxra. Ez van. Mindig ilyenekkel szopok, közben meg olvasom néha Nagyz beszámolóit azokról a world class cuccokról amik átmennek a kezei között...
--

"van 2 db IP subnet, aminek a forgalmát másfelé akarom terelni, mint az összes többi másik IP subnetet"
"ISP<--> LAB intranet között van 2 db PIX sorbakötve, DMZ-Ext és DMZ-Int"

A két PIX-et csak egy kábel köti össze, nincs köztük más eszköz, hálózat? Így? 


                                                                 LAN
[ISP] ----------- [ PIX DMZ-Ext ] ----------- [ PIX DMZ-Int] -----------

Vagy a DMZ-Ext és DMZ-Int a zónák nevei, és ezek tartalmaznak gépeket? Így? 



                            DMZ-Ext             DMZ-Int
[ISP] ----------- [ PIX ] ----------- [ PIX ] -----------

Honnan hová menő forgalomra kellene ez a megoldás? Az első esetben a LAN<-->internet viszonylatban nincs más út (tehát a PBR-nek nem lenne értelme), a második esetben pedig, ha a DMZ-Ext-ből induló forgalomnál a DMZ-Ext<-->internet illetve DMZ-Ext<-->DMZ-Int között kell váltani, akkor pedig a PIX biztonsági routing megfontolása (ingress és egress interfész nem lehet azonos) lehet a korlát.

Próbáld leírni a környezetet, hol kellene a PBR funkció, mit lehet módosítani. Fent kérdeztem, hogy van-e más eszköz letelepítve, amit köztes routerként fel lehetne használni, illetve van-e az érintett PIX-(ek)ben contextre lehetőség.

aki üzemelteti az is tudja, de nem fogja lecserélni se routerre se linuxra.
De mindenképpen kell a policy-based routing is? Melyik az erősebb, a nem változtatunk, vagy a legyen PBR? :)
Ha az eszközöket nem lehet változtatni, akkor a hálózati topológiát kellene átgondolni.

Megpróbálom leírni a topológiát, hátha lesz vkinek kerülő ötlete. Megbontogatni és teljesen átkonfigurálni nem fogom tudni a jelenlegi állapotot, mert egy értelmetlen (nem technológiai) korlátozás miatt nem fog változtatni azon.

ISP1 <---> DMZ-EXT PIX <---> DMZ Switch DMZ-EXT-VLAN <---> web-Proxy <---> DMZ Switch DMZ-INT-VLAN <---> DMZ-INT-PIX <---> LAB core router internal VLANs

Na most eddig ISP1 felé ment minden, viszont néhány LAB internal VLAN-t ehelyett ISP2 felé kellene routolni:

ISP2 <--> FirewallA Ext interface <---> Firewall A Int interface <---> ???? DMZ-EXT PIX / DMZ-INT PIX ??? <---> ??? <---> LAB core router VLAN xxx / VLAN yyy

Az ötlet az lett volna h. DMZ-INT PIX eltéríti a forgalmat source IP / source VLAN alapján és nem web-proxy felé küldi hanem Firewall A internal lába felé
--

pix nem tud valami virtual routert? és akkor azokat a vlanokat leszeparálni végig, aztán routeolni a végén ISP2-re. Vagy más gwt osztani, nekik, és azt másfele natolni a DMZ-EXTen?

Hozzáteszem, hogy a web-proxy miatt én elkezdenék gondolkodni azon, hogy egyáltalán látszanak-e még a DMZ-EXTen az internal vlanos címek, vagy már csak a proxy külső lábáé? Illetve ha minden megy keresztül a web proxyn, akkor esetleg ott lehetne valami okoskodni.

Egyetértek.

"pix nem tud valami virtual routert?"
Én is kérdeztem már, a PIX ezt security contextnek nevezi, és licencelt feature, valamint modellfüggő is. Ezért lenne jó, ha tudnánk, milyen PIX és milyen licenc van rajta. Jó lenne látni egy "show version" vagy "show activation-key" kimenetet, vagy ebből legalább a releváns részeket.

Van 0 forintos Cisco routerem, ha gondolod.
Csak annyi a gond hogy ez Londonban van.

Ha a szallitast meg tudod oldani, akkor szivesen oda adom.
2850-es, 2 db Gigas integralt interface + "csilio" bovitesi lehetoseg. (4 kis slot + 1 nagy)
Ez azert megkonnyitene a helyzetedet a PBR-hez.

"ISP<--> LAB intranet között van 2 db PIX sorbakötve, DMZ-Ext és DMZ-Int, vmi ismereteln ok szerint 2 elavult PIX 2x biztonságosabb mint 1 db elavult PIX. Én tudom h. már kukába kéne vágni azt a 2 PIX-et, aki üzemelteti az is tudja, de nem fogja lecserélni se routerre se linuxra"

Innen már csak az a kérdés, hogy akkor miért nem ő szopik ezzel a nemes feladattal, ha már ő üzemelteti? (Amiből egyébként következik, hogy talán >0 hozzáértés is van).

( Hunger | 2017. 05. 24., sze – 07:41 )

nem tud

a csillió publikussá vált NSA PIX exploit miatt egyébként is mellőzném a használatát