Cisco 857W + SDM Firewall Wizard

@lan72 · lun 09 giu , 2008 10:04 am

Salve a tutti,

Pensavo di attivare il Firewall sull'857w con Cisco SDM per generare una configurazione di base su cui dopo lavorarci un po su, anche perchè ancora non mi sono chiare alcune cose e onestamente andarle a scrivere tutte in CLI non saprei da dove iniziare.
Premetto che la configurazione attuale funziona in pieno con alice 20 mega, un notebook in wifi e un pc fisso sulla fe0.

Il problema nasce quando parto con SDM Firewall Wizard,
seleziono configurazione standard
seleziono interfaccia interna (BVI1) ed esterna(ATM0.1)
scelgo il livello di protezione (provato basso e medio)
e alla fine quando confermo un messaggio mi avvisa se voglio che SDM mi sclude dal firewall le regole di nat create da me (provato con si e no)
e così parte lo script per modificare la configurazione

e quì SDM mi avvisa che vi sono degli errori nei comandi e non conferma le modifiche.

Ho provato 3 versioni di ios differenti, la versione 2.3, 2.4. 2.4.1, 2.5 di SDM, ho provato anche con altre versioni di java, ho provato con mozilla invece che con explorer7, ho provato a riconfigurare da zero tutto il router interamente con SDM

sinceramente non so più cosa provare..

Qualcuno di voi ha configurato il firewall con sdm wizard ??? potete darmi una mano a capire il problema..

Grazie in anticipo

Agostino

Wizard · lun 09 giu , 2008 10:49 am

Dimenticati SDM!
Guarda qua:

http://www.ciscoforums.it/viewtopic.php?t=8957

@lan72 · mar 10 giu , 2008 8:31 am

ciao Wizard,

ho seguito il tuo consiglio, effettivamente comprendendo la logica di come lavora il firewall è tutto molto più semplice, tra le altre cose in giro su questo forum ho trovato tantissime info in merito.

ti rispondo perchè dopo averlo configurato e fatto delle prove non riesco a far funzionare correttamente emule, dc++ (emule=id-basso, dc=no-ricerche)
ti posto la conf del firewall e mi dici se ho sbagliato qualche cosa

P.S. - questi programmi li uso esclusivamente da un pc ed avevo abilitato la nat sulle porte precedentemente e funzionavano perfettamente, l'anomalia si presenta dopo la conf del firewall..

ti allego la mia configurazione

Codice: Seleziona tutto

ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall cuseeme
ip inspect name firewall h323
ip inspect name firewall rcmd
ip inspect name firewall realaudio
ip inspect name firewall streamworks
ip inspect name firewall vdolive
ip inspect name firewall sqlnet
ip inspect name firewall tftp
ip inspect name firewall ftp
ip inspect name firewall icmp
ip inspect name firewall sip
ip inspect name firewall esmtp max-data 52428800
ip inspect name firewall fragment maximum 256 timeout 1
ip inspect name firewall netshow
ip inspect name firewall rtsp
ip inspect name firewall pptp
ip inspect name firewall rtsp
ip inspect name firewall skinny



interface bvi1
 ip access-group 101 in


interface Dialer0
 ip inspect firewall out
 ip access-group 100 in
 


access-list 100 remark Internet
access-list 100 deny ip 0.0.0.0 0.255.255.255 any
access-list 100 deny ip 10.0.0.0 0.255.255.255 any
access-list 100 deny ip 127.0.0.0 0.255.255.255 any
access-list 100 deny ip 169.254.0.0 0.0.255.255 any
access-list 100 deny ip 172.16.0.0 0.15.255.255 any
access-list 100 deny ip 192.0.2.0 0.0.0.255 any
access-list 100 deny ip 192.168.0.0 0.0.255.255 any
access-list 100 deny ip 198.18.0.0 0.1.255.255 any
access-list 100 deny ip 224.0.0.0 0.15.255.255 any
access-list 100 deny ip any host 255.255.255.255
access-list 100 permit tcp any host 192.168.0.2 eq 1412
access-list 100 permit udp any host 192.168.0.2 eq 1422
access-list 100 permit tcp any host 192.168.0.2 eq 4662
access-list 100 permit udp any host 192.168.0.2 eq 4672
access-list 100 permit gre any any
access-list 100 deny icmp any any echo
access-list 100 deny ip any any log
!
!
access-list 101 remark Ethernet
access-list 101 permit ip any host 192.168.0.221
access-list 101 deny ip any host 192.168.0.255
access-list 101 deny udp any any eq tftp log
access-list 101 deny ip any 0.0.0.0 0.255.255.255 log
access-list 101 deny ip any 10.0.0.0 0.255.255.255 log
access-list 101 deny ip any 127.0.0.0 0.255.255.255 log
access-list 101 deny ip any 169.254.0.0 0.0.255.255 log
access-list 101 deny ip any 172.16.0.0 0.15.255.255 log
access-list 101 deny ip any 192.0.2.0 0.0.0.255 log
access-list 101 deny ip any 192.168.0.0 0.0.255.255 log
access-list 101 deny ip any 198.18.0.0 0.1.255.255 log
access-list 101 deny udp any any eq 135 log
access-list 101 deny tcp any any eq 135 log
access-list 101 deny udp any any eq 137 log
access-list 101 deny udp any any eq 138 log
access-list 101 deny tcp any any eq 445 log
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 permit ip any host 255.255.255.255
access-list 101 deny ip any any log

tra le altre cose quando importo sul router le inspect:

Codice: Seleziona tutto

ip inspect name firewall skinny
ip inspect name firewall netshow

mi da un errore.. perchè

queste sono le regole nat per i suddetti programmi:

Codice: Seleziona tutto

ip nat inside source static tcp 192.168.0.2 4662 interface Dialer0 4662
ip nat inside source static udp 192.168.0.2 4672 interface Dialer0 4672
ip nat inside source static tcp 192.168.0.2 1412 interface Dialer0 1412
ip nat inside source static udp 192.168.0.2 1422 interface Dialer0 1422

per finire la mia IOS è una c850-advsecurityk9-mz.124-15.T5.bin

Grazie

Agostino

Wizard · mar 10 giu , 2008 10:11 am

Il problema è questo:

access-list 100 permit tcp any host 192.168.0.2 eq 1412
access-list 100 permit udp any host 192.168.0.2 eq 1422
access-list 100 permit tcp any host 192.168.0.2 eq 4662
access-list 100 permit udp any host 192.168.0.2 eq 4672

192.168.0.2 nn è visibile da internet quindi fai così:

access-list 100 permit tcp any any eq 1412
access-list 100 permit udp any any eq 1422
access-list 100 permit tcp any any eq 4662
access-list 100 permit udp any any eq 4672

@lan72 · mar 10 giu , 2008 10:41 am

Ma se prima faccio la nat che mi fa il forwords della porta su quell'ip con:

[ip nat inside source static tcp 192.168.0.2 4662 interface Dialer0 4662]

e poi metto la acl solo su quell'ip per logica dovrebbe funzionare...

[access-list 100 permit tcp any host 192.168.0.2 eq 4662]

cmq proverò... e vi farò sapere

per finire mi spieghi perchè non mi inserisce le inspect

ip inspect name firewall netshow
ip inspect name firewall skinny

dandomi un errore !^!

ip inspect name firewall skinny
!^!

ip inspect name firewall netshow
!^!

grazie per tutto
Agostino

Wizard · mar 10 giu , 2008 10:46 am

No, nella acl 100 nn puoi mettere l'ip reale come ip destinazione! al 100%
Per l'inspection nn è che quei protocolli nn li puoi gestire?!

@lan72 · mar 10 giu , 2008 10:58 am

sinceramente non saprei.. ma eventualmente come faccio a saperlo se posso gestirli ??

ho copiato le inspect da un altro utente che aveva il mio stesso modello di router 857W, e tra l'altro uso la ultima ios disponibile
c850-advsecurityk9-mz.124-15.T5.bin

hai qualche idea

Wizard · mar 10 giu , 2008 11:32 am

Per l inspect fregatene assolutamente!
In uscita basta che abiliti i protocolli tcp e upd, stop!

@lan72 · mar 10 giu , 2008 12:27 pm

in sintesi le inspect come le ho impostate io fanno in modo che es::

se metto inspect tcp e udp solamente

tutte le richieste dall'interno verso l'esterno sui protocolli (in questo caso) tcp e udp aprono un varco sul firewall per attendere il traffico di ritorno, e basta.

quindi mettere tutti questi in uscita sulla dialer

ip inspect name firewall tcp
ip inspect name firewall udp
ip inspect name firewall cuseeme
ip inspect name firewall h323
ip inspect name firewall rcmd
ip inspect name firewall realaudio
ip inspect name firewall streamworks
ip inspect name firewall vdolive
ip inspect name firewall sqlnet
ip inspect name firewall tftp
ip inspect name firewall ftp
ip inspect name firewall icmp
ip inspect name firewall sip
ip inspect name firewall esmtp max-data 52428800
ip inspect name firewall fragment maximum 256 timeout 1
ip inspect name firewall netshow
ip inspect name firewall rtsp
ip inspect name firewall pptp
ip inspect name firewall rtsp
ip inspect name firewall skinny

anche se non si usano teoricamente e meno sicuro di mettere solo tcp e udp

quindi queste vanno inserite in questo caso solo per permettere l'ispezione dei dati dalla lan verso internet su determinati protocolli

oppure se non ci sono non vengono ispezionati ma passano lo stesso??

come ultimisisimisima cosa tu scrivevi sopra

code]No, nella acl 100 nn puoi mettere l'ip reale come ip destinazione! al 100%
[/code]

ma sulla 101 posso impostare es:

access-list 101 permit tcp any host 192.168.0.2 eq 1412

grazie per tutto no so come ringraziarti mi hai chiarito le idee,
appena arrivo a casa cancello lSDM

ancora grazie
Agostino

Wizard · mar 10 giu , 2008 2:56 pm

In uscita tieni solo

ip inspect name firewall tcp
ip inspect name firewall udp

Queste righe nn ti servono

ip inspect name firewall cuseeme
ip inspect name firewall h323
ip inspect name firewall rcmd
ip inspect name firewall realaudio
ip inspect name firewall streamworks
ip inspect name firewall vdolive
ip inspect name firewall sqlnet
ip inspect name firewall tftp
ip inspect name firewall ftp
ip inspect name firewall icmp
ip inspect name firewall sip
ip inspect name firewall esmtp max-data 52428800
ip inspect name firewall fragment maximum 256 timeout 1
ip inspect name firewall netshow
ip inspect name firewall rtsp
ip inspect name firewall pptp
ip inspect name firewall rtsp
ip inspect name firewall skinny

Nella 101 si puoi inserire gli ip reali

Cisco 857W + SDM Firewall Wizard

Login • Iscriviti