Salve a tutti,
Pensavo di attivare il Firewall sull'857w con Cisco SDM per generare una configurazione di base su cui dopo lavorarci un po su, anche perchè ancora non mi sono chiare alcune cose e onestamente andarle a scrivere tutte in CLI non saprei da dove iniziare.
Premetto che la configurazione attuale funziona in pieno con alice 20 mega, un notebook in wifi e un pc fisso sulla fe0.
Il problema nasce quando parto con SDM Firewall Wizard,
seleziono configurazione standard
seleziono interfaccia interna (BVI1) ed esterna(ATM0.1)
scelgo il livello di protezione (provato basso e medio)
e alla fine quando confermo un messaggio mi avvisa se voglio che SDM mi sclude dal firewall le regole di nat create da me (provato con si e no)
e così parte lo script per modificare la configurazione
e quì SDM mi avvisa che vi sono degli errori nei comandi e non conferma le modifiche.
Ho provato 3 versioni di ios differenti, la versione 2.3, 2.4. 2.4.1, 2.5 di SDM, ho provato anche con altre versioni di java, ho provato con mozilla invece che con explorer7, ho provato a riconfigurare da zero tutto il router interamente con SDM
sinceramente non so più cosa provare..
Qualcuno di voi ha configurato il firewall con sdm wizard ??? potete darmi una mano a capire il problema..
Grazie in anticipo
Agostino
Cisco 857W + SDM Firewall Wizard
Moderatore: Federico.Lagni
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- @lan72
- Cisco enlightened user
- Messaggi: 157
- Iscritto il: gio 22 mag , 2008 4:36 pm
- Località: Sicily
ciao Wizard,
ho seguito il tuo consiglio, effettivamente comprendendo la logica di come lavora il firewall è tutto molto più semplice, tra le altre cose in giro su questo forum ho trovato tantissime info in merito.
ti rispondo perchè dopo averlo configurato e fatto delle prove non riesco a far funzionare correttamente emule, dc++ (emule=id-basso, dc=no-ricerche)
ti posto la conf del firewall e mi dici se ho sbagliato qualche cosa
P.S. - questi programmi li uso esclusivamente da un pc ed avevo abilitato la nat sulle porte precedentemente e funzionavano perfettamente, l'anomalia si presenta dopo la conf del firewall..
ti allego la mia configurazione
tra le altre cose quando importo sul router le inspect:
mi da un errore.. perchè
queste sono le regole nat per i suddetti programmi:
per finire la mia IOS è una c850-advsecurityk9-mz.124-15.T5.bin
Grazie
Agostino
ho seguito il tuo consiglio, effettivamente comprendendo la logica di come lavora il firewall è tutto molto più semplice, tra le altre cose in giro su questo forum ho trovato tantissime info in merito.
ti rispondo perchè dopo averlo configurato e fatto delle prove non riesco a far funzionare correttamente emule, dc++ (emule=id-basso, dc=no-ricerche)
ti posto la conf del firewall e mi dici se ho sbagliato qualche cosa
P.S. - questi programmi li uso esclusivamente da un pc ed avevo abilitato la nat sulle porte precedentemente e funzionavano perfettamente, l'anomalia si presenta dopo la conf del firewall..
ti allego la mia configurazione
Codice: Seleziona tutto
ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall cuseeme
ip inspect name firewall h323
ip inspect name firewall rcmd
ip inspect name firewall realaudio
ip inspect name firewall streamworks
ip inspect name firewall vdolive
ip inspect name firewall sqlnet
ip inspect name firewall tftp
ip inspect name firewall ftp
ip inspect name firewall icmp
ip inspect name firewall sip
ip inspect name firewall esmtp max-data 52428800
ip inspect name firewall fragment maximum 256 timeout 1
ip inspect name firewall netshow
ip inspect name firewall rtsp
ip inspect name firewall pptp
ip inspect name firewall rtsp
ip inspect name firewall skinny
interface bvi1
ip access-group 101 in
interface Dialer0
ip inspect firewall out
ip access-group 100 in
access-list 100 remark Internet
access-list 100 deny ip 0.0.0.0 0.255.255.255 any
access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 deny ip 169.254.0.0 0.0.255.255 any
access-list 100 deny ip 172.16.0.0 0.15.255.255 any
access-list 100 deny ip 192.0.2.0 0.0.0.255 any
access-list 100 deny ip 192.168.0.0 0.0.255.255 any
access-list 100 deny ip 198.18.0.0 0.1.255.255 any
access-list 100 deny ip 224.0.0.0 0.15.255.255 any
access-list 100 deny ip any host 255.255.255.255
access-list 100 permit tcp any host 192.168.0.2 eq 1412
access-list 100 permit udp any host 192.168.0.2 eq 1422
access-list 100 permit tcp any host 192.168.0.2 eq 4662
access-list 100 permit udp any host 192.168.0.2 eq 4672
access-list 100 permit gre any any
access-list 100 deny icmp any any echo
access-list 100 deny ip any any log
!
!
access-list 101 remark Ethernet
access-list 101 permit ip any host 192.168.0.221
access-list 101 deny ip any host 192.168.0.255
access-list 101 deny udp any any eq tftp log
access-list 101 deny ip any 0.0.0.0 0.255.255.255 log
access-list 101 deny ip any 10.0.0.0 0.255.255.255 log
access-list 101 deny ip any 127.0.0.0 0.255.255.255 log
access-list 101 deny ip any 169.254.0.0 0.0.255.255 log
access-list 101 deny ip any 172.16.0.0 0.15.255.255 log
access-list 101 deny ip any 192.0.2.0 0.0.0.255 log
access-list 101 deny ip any 192.168.0.0 0.0.255.255 log
access-list 101 deny ip any 198.18.0.0 0.1.255.255 log
access-list 101 deny udp any any eq 135 log
access-list 101 deny tcp any any eq 135 log
access-list 101 deny udp any any eq 137 log
access-list 101 deny udp any any eq 138 log
access-list 101 deny tcp any any eq 445 log
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 permit ip any host 255.255.255.255
access-list 101 deny ip any any log
tra le altre cose quando importo sul router le inspect:
Codice: Seleziona tutto
ip inspect name firewall skinny
ip inspect name firewall netshow
queste sono le regole nat per i suddetti programmi:
Codice: Seleziona tutto
ip nat inside source static tcp 192.168.0.2 4662 interface Dialer0 4662
ip nat inside source static udp 192.168.0.2 4672 interface Dialer0 4672
ip nat inside source static tcp 192.168.0.2 1412 interface Dialer0 1412
ip nat inside source static udp 192.168.0.2 1422 interface Dialer0 1422
Grazie
Agostino
share your knowledge
.::.::. Cisco867VAE [IOS:15.4.3.M6a|FW:35j23je]
.::.::. Cisco867VAE [IOS:15.4.3.M6a|FW:35j23je]
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Il problema è questo:
access-list 100 permit tcp any host 192.168.0.2 eq 1412
access-list 100 permit udp any host 192.168.0.2 eq 1422
access-list 100 permit tcp any host 192.168.0.2 eq 4662
access-list 100 permit udp any host 192.168.0.2 eq 4672
192.168.0.2 nn è visibile da internet quindi fai così:
access-list 100 permit tcp any any eq 1412
access-list 100 permit udp any any eq 1422
access-list 100 permit tcp any any eq 4662
access-list 100 permit udp any any eq 4672
access-list 100 permit tcp any host 192.168.0.2 eq 1412
access-list 100 permit udp any host 192.168.0.2 eq 1422
access-list 100 permit tcp any host 192.168.0.2 eq 4662
access-list 100 permit udp any host 192.168.0.2 eq 4672
192.168.0.2 nn è visibile da internet quindi fai così:
access-list 100 permit tcp any any eq 1412
access-list 100 permit udp any any eq 1422
access-list 100 permit tcp any any eq 4662
access-list 100 permit udp any any eq 4672
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- @lan72
- Cisco enlightened user
- Messaggi: 157
- Iscritto il: gio 22 mag , 2008 4:36 pm
- Località: Sicily
Ma se prima faccio la nat che mi fa il forwords della porta su quell'ip con:
[ip nat inside source static tcp 192.168.0.2 4662 interface Dialer0 4662]
e poi metto la acl solo su quell'ip per logica dovrebbe funzionare...
[access-list 100 permit tcp any host 192.168.0.2 eq 4662]
cmq proverò... e vi farò sapere
per finire mi spieghi perchè non mi inserisce le inspect
ip inspect name firewall netshow
ip inspect name firewall skinny
dandomi un errore !^!
ip inspect name firewall skinny
!^!
ip inspect name firewall netshow
!^!
grazie per tutto
Agostino
[ip nat inside source static tcp 192.168.0.2 4662 interface Dialer0 4662]
e poi metto la acl solo su quell'ip per logica dovrebbe funzionare...
[access-list 100 permit tcp any host 192.168.0.2 eq 4662]
cmq proverò... e vi farò sapere
per finire mi spieghi perchè non mi inserisce le inspect
ip inspect name firewall netshow
ip inspect name firewall skinny
dandomi un errore !^!
ip inspect name firewall skinny
!^!
ip inspect name firewall netshow
!^!
grazie per tutto
Agostino
share your knowledge
.::.::. Cisco867VAE [IOS:15.4.3.M6a|FW:35j23je]
.::.::. Cisco867VAE [IOS:15.4.3.M6a|FW:35j23je]
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
No, nella acl 100 nn puoi mettere l'ip reale come ip destinazione! al 100%
Per l'inspection nn è che quei protocolli nn li puoi gestire?!
Per l'inspection nn è che quei protocolli nn li puoi gestire?!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- @lan72
- Cisco enlightened user
- Messaggi: 157
- Iscritto il: gio 22 mag , 2008 4:36 pm
- Località: Sicily
sinceramente non saprei.. ma eventualmente come faccio a saperlo se posso gestirli ??
ho copiato le inspect da un altro utente che aveva il mio stesso modello di router 857W, e tra l'altro uso la ultima ios disponibile
c850-advsecurityk9-mz.124-15.T5.bin
hai qualche idea
ho copiato le inspect da un altro utente che aveva il mio stesso modello di router 857W, e tra l'altro uso la ultima ios disponibile
c850-advsecurityk9-mz.124-15.T5.bin
hai qualche idea
share your knowledge
.::.::. Cisco867VAE [IOS:15.4.3.M6a|FW:35j23je]
.::.::. Cisco867VAE [IOS:15.4.3.M6a|FW:35j23je]
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Per l inspect fregatene assolutamente!
In uscita basta che abiliti i protocolli tcp e upd, stop!
In uscita basta che abiliti i protocolli tcp e upd, stop!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- @lan72
- Cisco enlightened user
- Messaggi: 157
- Iscritto il: gio 22 mag , 2008 4:36 pm
- Località: Sicily
in sintesi le inspect come le ho impostate io fanno in modo che es::
se metto inspect tcp e udp solamente
tutte le richieste dall'interno verso l'esterno sui protocolli (in questo caso) tcp e udp aprono un varco sul firewall per attendere il traffico di ritorno, e basta.
quindi mettere tutti questi in uscita sulla dialer
ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall cuseeme
ip inspect name firewall h323
ip inspect name firewall rcmd
ip inspect name firewall realaudio
ip inspect name firewall streamworks
ip inspect name firewall vdolive
ip inspect name firewall sqlnet
ip inspect name firewall tftp
ip inspect name firewall ftp
ip inspect name firewall icmp
ip inspect name firewall sip
ip inspect name firewall esmtp max-data 52428800
ip inspect name firewall fragment maximum 256 timeout 1
ip inspect name firewall netshow
ip inspect name firewall rtsp
ip inspect name firewall pptp
ip inspect name firewall rtsp
ip inspect name firewall skinny
anche se non si usano teoricamente e meno sicuro di mettere solo tcp e udp
quindi queste vanno inserite in questo caso solo per permettere l'ispezione dei dati dalla lan verso internet su determinati protocolli
oppure se non ci sono non vengono ispezionati ma passano lo stesso??
come ultimisisimisima cosa tu scrivevi sopra
code]No, nella acl 100 nn puoi mettere l'ip reale come ip destinazione! al 100%
[/code]
ma sulla 101 posso impostare es:
access-list 101 permit tcp any host 192.168.0.2 eq 1412
grazie per tutto no so come ringraziarti mi hai chiarito le idee,
appena arrivo a casa cancello lSDM
ancora grazie
Agostino
se metto inspect tcp e udp solamente
tutte le richieste dall'interno verso l'esterno sui protocolli (in questo caso) tcp e udp aprono un varco sul firewall per attendere il traffico di ritorno, e basta.
quindi mettere tutti questi in uscita sulla dialer
ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall cuseeme
ip inspect name firewall h323
ip inspect name firewall rcmd
ip inspect name firewall realaudio
ip inspect name firewall streamworks
ip inspect name firewall vdolive
ip inspect name firewall sqlnet
ip inspect name firewall tftp
ip inspect name firewall ftp
ip inspect name firewall icmp
ip inspect name firewall sip
ip inspect name firewall esmtp max-data 52428800
ip inspect name firewall fragment maximum 256 timeout 1
ip inspect name firewall netshow
ip inspect name firewall rtsp
ip inspect name firewall pptp
ip inspect name firewall rtsp
ip inspect name firewall skinny
anche se non si usano teoricamente e meno sicuro di mettere solo tcp e udp
quindi queste vanno inserite in questo caso solo per permettere l'ispezione dei dati dalla lan verso internet su determinati protocolli
oppure se non ci sono non vengono ispezionati ma passano lo stesso??
come ultimisisimisima cosa tu scrivevi sopra
code]No, nella acl 100 nn puoi mettere l'ip reale come ip destinazione! al 100%
[/code]
ma sulla 101 posso impostare es:
access-list 101 permit tcp any host 192.168.0.2 eq 1412
grazie per tutto no so come ringraziarti mi hai chiarito le idee,
appena arrivo a casa cancello lSDM
ancora grazie
Agostino
share your knowledge
.::.::. Cisco867VAE [IOS:15.4.3.M6a|FW:35j23je]
.::.::. Cisco867VAE [IOS:15.4.3.M6a|FW:35j23je]
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
In uscita tieni solo
ip inspect name firewall tcp
ip inspect name firewall udp
Queste righe nn ti servono
ip inspect name firewall cuseeme
ip inspect name firewall h323
ip inspect name firewall rcmd
ip inspect name firewall realaudio
ip inspect name firewall streamworks
ip inspect name firewall vdolive
ip inspect name firewall sqlnet
ip inspect name firewall tftp
ip inspect name firewall ftp
ip inspect name firewall icmp
ip inspect name firewall sip
ip inspect name firewall esmtp max-data 52428800
ip inspect name firewall fragment maximum 256 timeout 1
ip inspect name firewall netshow
ip inspect name firewall rtsp
ip inspect name firewall pptp
ip inspect name firewall rtsp
ip inspect name firewall skinny
Nella 101 si puoi inserire gli ip reali
ip inspect name firewall tcp
ip inspect name firewall udp
Queste righe nn ti servono
ip inspect name firewall cuseeme
ip inspect name firewall h323
ip inspect name firewall rcmd
ip inspect name firewall realaudio
ip inspect name firewall streamworks
ip inspect name firewall vdolive
ip inspect name firewall sqlnet
ip inspect name firewall tftp
ip inspect name firewall ftp
ip inspect name firewall icmp
ip inspect name firewall sip
ip inspect name firewall esmtp max-data 52428800
ip inspect name firewall fragment maximum 256 timeout 1
ip inspect name firewall netshow
ip inspect name firewall rtsp
ip inspect name firewall pptp
ip inspect name firewall rtsp
ip inspect name firewall skinny
Nella 101 si puoi inserire gli ip reali
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....