Re: [OT] cisco PIX-515E era (Re: squid e Router)(lungo)[RISOLTO]
Umberto Carrara
ciao a tutti,
rispondo a Rizio per ringraziarlo dell'aiuto fondamentale, ho risolto
analizzando tutte le configurazioni dei server come Rizio mi ha
consigliato, e oltre a trovare errori nella configurazione del proxy mi
sono accorto che avevo inserito delle acl nel rouetr cisco in ordine errato
percᅵᅵ non erano valide, ripristinando le precedenze il router ha
cominciato ad andare ;-)
Grazie di nuovo
Umberto
> Umberto Carrara ha scritto:
>
>> access-list acl_out line 18 permit tcp any host srvmail-out eq https
>> (hitcnt=0)
>> access-list acl_out line 19 permit tcp host srvmail-out eq https any
>> (hitcnt=0)
>> access-list acl_dmz line 11 permit tcp host srvmail-dmz any eq https
>> (hitcnt=0)
>> access-list acl_dmz line 12 permit tcp any host srvmail-out eq https
>> (hitcnt=0)
>> access-list acl_dmz line 13 permit tcp host srvmail-out eq https any
>> (hitcnt=0)
>
> da quanto dice il tuo pix l'ip del tuo squid non matcha con nessuna
> regola che dovrebbe farlo uscire....
> per quello che ti ho fatto mettere in testa la regola per ip
>
>> static (dmz,outside) service-out altro-ip-esterno netmask 255.255.255.255
>> 0 0
>> static (dmz,outside) srvmail-out srvmail-dmz netmask 255.255.255.255 0 0
>
> Leggo bene la regola ? Nella prima riga pubblichi in outside un ip della
> dmz con un ip esterno ?
>
> Cmq non mi sembra che possano creare problemi pero' se non hai esigenze
> particolari pubblica solo la porta di quel determinato servizio verso
> l'esterno, per 2 ragioni:
> 1) sicurezza
> 2) puoi pubblicare diverse macchine sullo stesso ip su porte diverse
>
> Prova a dare una messa in ordine anche a questo passo che magari non
> centra con il problema contingente ma tanto vale dare una bella messa a
> punto finche' ci sei.
>
>> il clear counter non lo fa, counter non ᅵ un comando
>
> No no, intendevo proprio un clear counter, e' che a memoria non mi
> ricordavo la sintassi. E' questa:
>
> clear access-list NOME_ACL counters
>
> cosi' azzeri i contatori e dopo hai gli hit chiari e ti possono aiutare
> a capire in quale acl si imbatte il tuo server.
>
>> come risultato del sh access-l intendi questo?
>>
>> access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 1024)
>> alert-interval 300
>
> no no, intendevo quanto sopra... ti serve per capire quante volte viene
> "usata" un'acl. E' utile in fasi come queste.
>
>>> Io per capire proverei a mettere in testa a tutte le altre regole un
>>> bel:
>>>
>>> access-list acl_inside permit ip 192.168.1.0 255.255.255.0 host
>>> srvmail-dmz access-list acl_dmz permit ip host srvmail-dmz any
>>
>> non funziona
>
> Vuoi dire che squid non esce ? Non vedi nessun hit ?!
> Perche' le regole sono 2 separate:
>
> access-list acl_inside permit ip 192.168.1.0 255.255.255.0 host
> srvmail-dmz
>
> access-list acl_dmz permit ip host srvmail-dmz any
>
> Con la prima abilitiamo tutta la net (dei tuoi client immagino) ad
> accedere con ogni protocollo ip (tcp/udp) al server squid
> Con la seconda facciamo la stessa cosa sul server squid verso l'esterno.
>
>>> Ricordati anche che il PIX ragiona per pesi delle diverse interfacce e
>>> se lo squid e' in dmz devi permettergli di raggiungere i client in
>>> inside attraverso un'acl perche' la dmz e' piu' insicura della inside e
>>> deve essere gestita manualmente.
>>
>> il fatto ᅵ che neanche srvmail-dmz riesce ad aprire un sito https, ho
>> impostato queste regole
>>
>> access-list https_list line 1 permit tcp any host 95.110.194.146 eq https
>> (hitcnt=109)
>> access-list https_list line 2 permit tcp host 95.110.194.146 eq https any
>> (hitcnt=105)
>
> Ma su quale interfaccia e in che direzione hai applicato questa access-l
> (https_list) ? Ed in che ordine rispetto all'acl standard (acl-int,
> acl-out, acl-dmz)
>
>> e se da una shell su srvmail-dmz chiamo
>>
>> lynx sito-in-https.it
>>
>> "show capture capweb" dice
>>
>> 07:30:27.489568 srvmail-dmz.51918 > 95.110.194.146.443: S
>> 902849467:902849467(0) win 5840 <mss 1460,sackOK,timestamp
>> 315329925[|tcp]> 07:30:27.489629 95.110.194.146.443 > srvmail-dmz.51918:
>> R 0:0(0) ack 902849468 win 5840 <mss 1460,sackOK,timestamp
>> 315329925[|tcp]>
>>
>> purtroppo non so interpretarlo
>
> Per quello che vedo sembra che la parte iniziale di handshake sia stata
> portata a termine correttamente (ma non ricordo piu' in ca.... delle
> basi ip). I bit del SIN/ACK sono corretti (voce "sackOK").
> Magari qualche guru puo' confermarmi o smentirmi.
>
> Pero' la cosa in questo caso sembra ancora piu' strana perche' se la
> connessione funziona allora devi riuscire a navigare almeno in console -
> ma devi anche vedere qualche hit nelle acl.
>
> Sulla macchina squid un "netstat -tunap" cosa ti dice riguardo alla
> connessione https della console.
>
>> c'era giᅵ una macchina che faceva da squid che per vari motivi ᅵ stata
>> tolta, ed essa naviga tranquillamente su https, anche adesso, senza
>> nessuna access-list in particolare, ci sto a uscire pazzo!! e la
>> configurazione delle due apparentemente ᅵ uguale
>
> Stai usando lo stesso ip della macchina vecchia ? Cosa hai cambiato
> rispetto a quando era in funzione quella macchina ?
>
> Mi sembra una cosa strana.... hai verificato tutte le classiche cavolate
> che si danno per scontato ? Prova a farti una check-list delle cose da
> verificare; dalla piu' banale (ip/netmask/gw/dns) alla piu' assurda
> (mettere la macchina squid direttamente in outside con uno switch, con
> un ip dell'outdside e farla navigare direttamente dandole come default
> gw l'ip dell'outside del pix)
>
>> grazie dell'aiuto
>> Umberto
>
> Np, ho impostato il f-up sul gruppo che mi sembra piu' appropriato vista
> la piega che sta prendendo il problema (e magari troviamo anche un aiuto
> piu' mirato e piu' capace riguardo al pix)
>
> Rizio
Rizio
> ciao a tutti,
> rispondo a Rizio per ringraziarlo dell'aiuto fondamentale, ho risolto
No problem per l'aiuto, e' stato un utile ripasso anche per me.... e
sapessi con quanti sono in debito io :)
Ciao
Rizio
--
Si dice che essere liberi significa non avere nulla da perdere...sembra
facile a prima vista...ma la veritᅵ ᅵ che non avere nulla da perdere
significa essere pronti a rischiare tutto ciᅵ che si possiede.