Назад | Перейти на главную страницу

Межсетевой экран Cisco PIX версии 6.3 (5)

Я не могу подключиться к каким-либо серверам по ssh. Я исчерпал все возможное, кроме корпоративного межсетевого экрана. Это старый брандмауэр cisco pix.

[модель]

Cisco PIX 501

Я пытаюсь понять

1) как временно отключить его, чтобы доказать, что это действительно проблема.

2) как пропустить порт 22 (ssh), поскольку мои запросы ssh никогда не попадают на предполагаемые серверы.

Я пробовал с ним кое-что, но я не разбираюсь в аппаратном обеспечении. так что любая помощь будет отличной.

частичная конфигурация

fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names         
object-group service ssh tcp 
  port-object range ssh ssh 
access-list acl_in permit udp any any eq domain 
access-list acl_in permit icmp any any 
access-list acl_in permit tcp any any eq www 
access-list acl_in permit tcp any any eq pop3 
access-list acl_in permit tcp any any eq smtp 
access-list acl_in permit tcp any any eq https 
access-list acl_in permit tcp any any eq 3389 
access-list acl_in permit tcp any any eq ftp 
access-list acl_in permit tcp any any eq ftp-data 
access-list acl_in permit ip xxx 255.255.255.0 xxx 255.255.255.0 
access-list acl_in permit tcp any any eq 8080 
access-list acl_in permit udp any any eq ntp 
access-list acl_in permit tcp any any eq 123 
access-list acl_in permit tcp any any range 6881 6999 
access-list acl_in permit tcp any any eq 9090 
access-list acl_in permit tcp any any eq 9100 
access-list acl_in permit tcp any any eq 2083 
access-list acl_in permit tcp any any eq 6100 
access-list acl_in permit udp any any eq 6100 
access-list acl_in permit udp any any eq 9675 
access-list acl_in permit tcp any any eq 9675 
access-list acl_in permit tcp any any eq 1935 
access-list acl_in permit tcp any any eq 563 
access-list acl_in permit tcp any any eq 56065 
access-list acl_in permit tcp any any eq 8100 
access-list acl_in permit tcp any any eq 5001 
access-list acl_in permit tcp any eq ssh any log 
access-list acl_out permit icmp any any 
access-list acl_out permit tcp any host xxx eq https 
access-list acl_out permit tcp any host xxx eq smtp 
access-list acl_out permit tcp any host xxx eq pop3 
access-list acl_out permit tcp any any eq www 
access-list acl_out permit tcp any any range 6881 6999 
access-list acl_out permit tcp any any eq 9090 
access-list acl_out permit tcp any host xxx eq 10000 
access-list acl_out permit tcp any any eq ssh

...

ssh xx.xx.xxx.xxx 255.255.255.255 outside
ssh xx.xxx.xxx.xxx 255.255.255.255 outside
ssh timeout 60

Чтобы разрешить исходящий трафик SSH, в конфигурацию необходимо добавить явное правило. Списки доступа, которые вы показываете выше в своей конфигурации, показывают что-то немного странное ...

Возможно, вам потребуется добавить:

access-list acl_out permit tcp any any eq ssh

Пожалуйста, попробуйте сообщить об этом.


Изменить, какие действия по устранению неполадок вы пробовали? Вы пытаетесь подключиться к известным доступным серверам? Была бы полезна полная конфигурация контекста.