| View previous topic :: View next topic |
| Author |
Message |
tocas
Apprentice
Joined: 01 Jan 2004
Posts: 280
Location: 43°50'-10°27'
|
 Posted: Fri Nov 03, 2006 12:17 pm Post subject: Sono dietro a un ... Pix ! |
 |
|
Lo scenario è: rete lan in dominio w$2003, tutti client w$ in dominio, un firewall Pix515e per uscire su internet.
Devo preparare un nuovo server Gentoo all'interno della lan sfruttando la classe IP privata ma non riesco ad uscire su internet, il problema è sicuramente il firewall che non è possibile modificare in quanto la sua gestione è demandata a terzi.
Quello che non riesco a capire è il perchè non riesca a passare attraverso il firewall nonostante abbia impostato (a scopo di test) il numero ip di un'altra macchina che esce regolarmente ma che si trova in dominio w$. Ovviamente il default gateway è stato impostato e corrisponde all'interfaccia interna del Pix (192.168.0.1) che riesco a pingare come del resto tutti gli altri server in lan.
Non conosco questo firewall (dovrò approfondire una volta per tutte) ma l'unica spiegazione che riesco a dare ad un tale comportamento è che il firewall sia stato minuziosamente configurato al controllo dei MAC address.
L'altra ipotesi potrebbe scaturire dal fatto che la macchina che si logga al domino riesce a passare e allora mi chiedo.... il Pix515e è in grado di legarsi ad un dominio w$ e gestire le regole al di sopra del tcp/ip ?
Alla fine il problema è quello di riuscire a gestire installazione e aggiornamenti di un server Gentoo.
----- |
|
| Back to top |
|
 |
Ic3M4n
Advocate
Joined: 02 Nov 2004
Posts: 3489
Location: Bergamo.
|
| Posted: Fri Nov 03, 2006 12:38 pm Post subject: |
|
|
per modificare il mac address ti basta un | Code: | | ifconfig eth0 hw ether nuovo-ip |
logicamente da dare a connessione inattiva. |
|
| Back to top |
|
|
randomaze
Bodhisattva
Joined: 21 Oct 2003
Posts: 9985
|
| Posted: Fri Nov 03, 2006 1:06 pm Post subject: |
|
|
Moved from Forum italiano (Italian) to Forum di discussione italiano.
Per quello che ricordo il Pix non ha minima nozione di dominio microsoft.
Le prove per uscire le hai fatte nella stessa maniera per i due host oppure per windows hai controllato quello che fa explorer e con la macchina linux cerchi di uscire in rsync o ftp?
hai provato a vedere con traceroute dove si fermano i pacchetti?
_________________
Ciao da me! |
|
| Back to top |
|
|
tocas
Apprentice
Joined: 01 Jan 2004
Posts: 280
Location: 43°50'-10°27'
|
| Posted: Fri Nov 03, 2006 1:55 pm Post subject: |
|
|
| randomaze wrote: | Moved from Forum italiano (Italian) to Forum di discussione italiano.
Per quello che ricordo il Pix non ha minima nozione di dominio microsoft.
Le prove per uscire le hai fatte nella stessa maniera per i due host oppure per windows hai controllato quello che fa explorer e con la macchina linux cerchi di uscire in rsync o ftp?
hai provato a vedere con traceroute dove si fermano i pacchetti? |
All'interno della rete c'è un proxy, i client per uscire su internet passano da lì ma a detta di chi mi dà una mano dovrebbe esserci anche un pool di indirizzi che passa dal firewall, in realtà ciò sembra che non funzioni.
Il Pix fa il nat, ma tutti per uscire su internet passano dal proxy che ha un ip privato interno in netmask 255.255.0.0 e lascia passare solo la porta 80, Per "tagliare la testa al toro" sono andato in sala macchine, ho staccato il Pix dalla lan e l'ho collegato alla macchina server sulla quale devo installare Gentoo, all'interfaccia di rete gli ho assegnato l'ip del proxy interno, impostato il default gw all'interfaccia d'ingresso del Pix.
Non ho fatto un traceroute ma ping all'interfaccia interna del pix che risponde quella esterna no.
E' anche vero che il pix sull'interfaccia wan filtra l'icmp ma fuori abbiamo un router e un pool di sei indirizzi pubblici, uno di questi appartiene ad un altro server web gentoo da me configurato. So come funziona, fisicamente si trova collegato tramite uno switch al porta wan del pix ed è stato il principale punto di riferimento per i test in uscita.
| Code: | | Per quello che ricordo il Pix non ha minima nozione di dominio microsoft. |
Non conosco questo firewall ma l'intuito mi porta ad essere concorde con la tua affermazione però, in merito alla descrizione dell'ultimo test da me fatto, penso che non ci siano dubbi che il "colpevole" sia il Pix.
---- |
|
| Back to top |
|
|
X-Act!
Apprentice
Joined: 22 Nov 2004
Posts: 245
Location: /home/xact/
|
| Posted: Mon Nov 06, 2006 5:46 pm Post subject: |
|
|
Scusa ma non ho capito bene come è fatta la tua rete: il proxy è dentro o fuori dal firewall? Ad occhio direi che se è fuori il firewall non ti farà mai uscire se non per andare verso l'indirizzo interno del proxy; se invece è dentro l'unico indirizzo che esce su internet è quello esterno del proxy e tutte le macchine sono bloccate ugualmente.
Comunque sia se tutte le macchine sono obbligate a usare un proxy dovrai usarlo anche con la gentoo.
Ovviamente non puoi avere accesso neanche ai log del firewall vero? Altrimeni sarebbe troppo facile...
Non credo che il firewall si appoggi direttamente al dominio, ma alcuni (e non so se il pix è tra questi) hanno meccanismi di autenticazione e possono anche usare server active directory per il profiling degli utenti. Se dovesse essere questo il tuo caso dovresti farti dire qual è la procedura per l'autenticazione.
_________________
"Io non mi sento obbligato a credere che lo stesso Dio che ci ha dotato di senso, ragione ed intelletto intendesse che noi ne facessimo a meno."
-- Galileo Galilei |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
