[Résolu] ouvrir des ports sur un pix 506E

[vinv219]

Bonjour, je dois faire des modifs sur une architecture avec un pix506E sans dmz.

Ma question est la suivante.

Le client doit joindre un serveur sur le web (srv1."nom_de_domaine".com) sur les ports tcp 1494 et udp 1604 pour du citrix. Actuellement ces ports ne sont pas autorisés. Est ce qu'il suffit juste de faire une access-list "access-list inside_access_in" avec ces 2 ports ? Y a t'il quelque chose a faire au niveau de la translation d'@ ?

Merci


La config est la suivante :
access-list inside_access_in permit icmp any any
access-list inside_access_in permit udp host SRV-CHA host DNSOLEANE1 eq domain
access-list inside_access_in permit udp host SRV-CHA host DNSOLEANE2 eq domain
access-list inside_access_in permit tcp LAN 255.255.255.0 any eq www
access-list inside_access_in permit tcp LAN 255.255.255.0 any eq ftp
access-list inside_access_in permit tcp LAN 255.255.255.0 any eq https
access-list inside_access_in permit tcp LAN 255.255.255.0 any eq 8080
access-list inside_access_in permit tcp host SRV-CHA host SMTP_AV_OUT eq smtp
access-list inside_access_in permit tcp LAN 255.255.255.0 any eq ldap
access-list inside_access_in permit tcp LAN 255.255.255.0 host 83.206.120.6 eq 10000
access-list inside_access_in permit tcp host SESAME-01 any eq 8090
access-list inside_access_in permit tcp host SESAME-01 any eq 8091
access-list inside_access_in permit tcp host SESAME-01 any eq 4334
access-list inside_access_in permit tcp host SESAME-02 any eq 8090
access-list inside_access_in permit tcp host SESAME-02 any eq 8091
access-list inside_access_in permit tcp host SESAME-02 any eq 4334
access-list inside_access_in deny ip any any
access-list outside_access_in permit tcp host SMTP_AV_IN host IP-PUB-PIX eq smtp
access-list outside_access_in permit tcp host 195.6.242.194 host IP-PUB-PIX eq 15234
access-list outside_access_in permit tcp host 217.128.190.47 host IP-PUB-PIX eq 15234
access-list outside_access_in deny ip any any
access-list inside_outbound_nat0_acl permit ip LAN 255.255.255.0 PATERNOTTE 255.255.255.0
access-list outside_cryptomap_20 permit ip LAN 255.255.255.0 PATERNOTTE 255.255.255.0 pager lines 24

ip address outside IP-PUB-PIX 255.255.255.252
ip address inside IP-INT-PIX 255.255.255.0

global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 LAN 255.255.255.0 0 0
static (inside,outside) tcp IP-PUB-PIX smtp SRV-CHA smtp netmask 255.255.255.255 0 0
static (inside,outside) tcp IP-PUB-PIX 15234 172.16.41.6 ssh netmask 255.255.255.255 0 0
access-group outside_access_in in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 EFFICIENT 1

[Padawan]

Bonjour,

Sans lire ce que t'as mis dans ta conf, je peux dire qu'il faut juste ouvrir les accès au niveau des ACLs, et faire des translations NAT si du NAT/PAT est implémenté et activé sur le PIX.

A+

Padawan

[vinv219]

j'ai déjà le PAT de configuré
global (outside) 1 interface
nat (inside) 1 LAN 255.255.255.0 0 0

donc j'ai juste à mettre les ACLs comme tu m'a dis

Merci