Comment acheminer le trafic PPTP via un pare-feu PIX
Cette recette est obsolète.
Cette recette est obsolète. Voir ceci: http://www.comment-tuto.com/rx/2222/pptp_on_cisco_asa_or_pix_6_3_or_later_code.
Les pare-feu Cisco PIX nécessitent deux éléments pour acheminer le trafic de l'extérieur (sécurité supérieure) vers l'intérieur (sécurité inférieure): une traduction statique et un conduit.
Dans cet exemple, on suppose qu'un serveur a l'adresse IP 192.168.1.100 et qu'une adresse externe de 1.1.1.1 est disponible.
Créez d'abord la traduction statique. Cette ligne de configuration établit une relation entre 1.1.1.1 (adresse IP Internet publique) et 192.168.1.100 (adresse IP interne et privée).
static (inside,outside) 1.1.1.1 192.168.1.100 netmask 255.255.255.255 0 0
Ensuite, créez des conduits appropriés afin que certains trafics extérieurs puissent être acheminés vers l'interface intérieure. PPTP utilise TCP / 1723, TCP / 139, UDP / Netbios-NS, UDP / Netbios-DGM et IP / 47 GRE.
Ce n'est pas nécessaire. Cette recette est obsolète et basée sur un ancien document.
conduit permit tcp 1.1.1.1 eq 1723 any
conduit permit tcp host 1.1.1.1 eq 139 any
conduit permit udp host 1.1.1.1 eq 137 any
conduit permit udp host 1.1.1.1 eq 138 any
conduit permit gre host 1.1.1.1 any
ou
access-list 101 permit tcp any host 1.1.1.1 1723
access-list 101 permit tcp any host 1.1.1.1 139
access-list 101 permit udp any host 1.1.1.1 137
access-list 101 permit udp any host 1.1.1.1 138
access-list 101 permit gre any host 1.1.1.1
access-group 101 in interface outside
Quelques notes:
- Dans les conduits et les listes d'accès est le certains que le trafic correspondant depuis une adresse IP permet le mot clé est passé à travers le pare - feu. Si possible, cela doit être remplacé par l'adresse IP source du tunnel PPTP.
Vérifiez toutes les listes d'accès existantes ou d'autres données requises dans les listes d'accès avant d'entrer la dernière ligne!
Certaines de ces informations proviennent de la FAQ Cisco PPTP.