MSN Messenger e Chat vocale

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
Babbazzi
n00b
Messaggi: 12
Iscritto il: ven 04 ago , 2006 10:25 am

Ciao a tutti,

sapete per caso come far funzionare la chiamata vocale e il file transfer di MSN Messenger?
Io ho trovato le porte che bengono utilizzate ed ho inserito le acl e i nat in questo modo, ma non funge:

Codice: Seleziona tutto

version 12.4 
no service pad 
service timestamps debug uptime 
service timestamps log uptime 
service password-encryption 
! 
hostname router 
! 
boot-start-marker 
boot-end-marker 
! 
no logging buffered 
enable secret 5 xxxxxxxxxxxxxxxxxxx 
! 
no aaa new-model 
! 
resource policy 
! 
no ip dhcp use vrf connected 
ip dhcp excluded-address 10.10.10.1 10.10.10.2 
! 
ip dhcp pool CLIENT 
   import all 
   network 10.10.10.0 255.255.255.0 
   default-router 10.10.10.1 
   lease 0 2 
! 
! 
ip cef 
! 
! 
! 
username router privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxx 
! 
! 
! 
! 
! 
interface Ethernet0 
 ip address 10.10.10.1 255.255.255.0 
 ip nat inside 
 no ip mroute-cache 
 hold-queue 100 out 
! 
interface ATM0 
 no ip address 
 no ip mroute-cache 
 atm vc-per-vp 64 
 no atm ilmi-keepalive 
 dsl operating-mode auto 
 pvc 8/35 
  encapsulation aal5mux ppp dialer 
  dialer pool-member 1 
 ! 
! 
interface Dialer0 
 ip address negotiated 
 ip access-group 102 in 
 ip nat outside 
 encapsulation ppp 
 dialer pool 1 
 dialer-group 1 
 ppp authentication chap pap callin 
 ppp chap hostname xxxxxxxxxxxxxxxxxx 
 ppp chap password 7 xxxxxxxxxxxxxxxxxx 
 ppp pap sent-username xxxxxxxxxxxxxx password 7 xxxxxxxxxxxxxx 
 ppp ipcp dns request 
 ppp ipcp wins request 
 hold-queue 224 in 
! 
ip route 0.0.0.0 0.0.0.0 Dialer0 
ip http server 
no ip http secure-server 
! 
ip nat translation timeout 2400 
ip nat translation tcp-timeout 2400 
ip nat translation udp-timeout 2400 
ip nat translation finrst-timeout 300 
ip nat translation syn-timeout 120 
ip nat translation dns-timeout 300 
ip nat translation icmp-timeout 120 
ip nat inside source list 101 interface Dialer0 overload 
ip nat inside source static tcp 10.10.10.2 32459 interface Dialer0 32459 
ip nat inside source static udp 10.10.10.2 6901 interface Dialer0 6901 
ip nat inside source static tcp 10.10.10.2 6901 interface Dialer0 6901 
ip nat inside source static tcp 10.10.10.2 6893 interface Dialer0 6893 
ip nat inside source static tcp 10.10.10.2 6892 interface Dialer0 6892 
ip nat inside source static tcp 10.10.10.2 6891 interface Dialer0 6891 
ip nat inside source static tcp 10.10.10.2 6699 interface Dialer0 6699 
ip nat inside source static udp 10.10.10.2 6257 interface Dialer0 6257 
ip nat inside source static udp 10.10.10.2 4672 interface Dialer0 4672 
ip nat inside source static tcp 10.10.10.2 4662 interface Dialer0 4662 
ip nat inside source static tcp 10.10.10.2 3389 interface Dialer0 3389 
ip nat inside source static tcp 10.10.10.2 1893 interface Dialer0 1893 
ip nat inside source static tcp 10.10.10.2 21 interface Dialer0 21 

! 
access-list 101 permit ip 10.10.10.0 0.0.0.255 any 
access-list 102 permit tcp any any established 
access-list 102 permit udp any eq domain any 
access-list 102 permit tcp any any eq 1863 
access-list 102 permit tcp any any eq 4662 
access-list 102 permit udp any any eq 4672 
access-list 102 permit udp any any eq 6257 
access-list 102 permit tcp any any eq 6699 
access-list 102 permit tcp any any range 6891 6893 
access-list 102 permit tcp any any eq 6901 
access-list 102 permit udp any any eq 6901 
access-list 102 permit tcp any any eq 32459 
access-list 102 permit tcp any any eq telnet 
access-list 102 permit icmp any any echo-reply 
! 
control-plane 
! 
! 
line con 0 
 exec-timeout 120 0 
 login local 
 no modem enable 
 stopbits 1 
line aux 0 
line vty 0 4 
 exec-timeout 120 0 
 login local 
 length 0 
! 
scheduler max-task-time 5000 
end


Ho provato a creare un blocco in ingresso sulla in Dialer0 lasciando passare solo ciò che ho cominciato io le porte che mi servono x emule bittorrent a msn e queste le natto verso il mio pc.
Funziona tutto tranne MSN.

Mi sapreste aiutare?

Grazie
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Non vorrei che le porte non fossero quelle...
Prova a sniffare dal pc o debuggare dal router mentre provi a trasferire file o chiamare e verifica porte e protocolli usati.
Controlla poi le regole.
Facci sapere!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
Babbazzi
n00b
Messaggi: 12
Iscritto il: ven 04 ago , 2006 10:25 am

Eh.. a questo punto temo di no.

guardando le ACLs:

Codice: Seleziona tutto

router#sh access-lists
Extended IP access list 101
    10 permit ip 10.10.10.0 0.0.0.255 any (42430 matches)
Extended IP access list 102
    10 permit tcp any any established (1178114 matches)
    20 permit udp any eq domain any (12287 matches)
    30 permit tcp any any eq 1863
    40 permit tcp any any eq 4662 (18182 matches)
    50 permit udp any any eq 4672 (191276 matches)
    60 permit udp any any eq 6257
    70 permit tcp any any eq 6699
    80 permit tcp any any range 6891 6893
    90 permit tcp any any eq 6901
    100 permit udp any any eq 6901
    110 permit tcp any any eq 32459 (442 matches)
    120 permit tcp any any eq telnet (12 matches)
    130 permit icmp any any echo-reply (4 matches)
router#
quelle riguardanti le porte MSN sono le uniche non utilizzate.
Eppure su più siti vengono indicate quelle.

Snifferò e vi farò sapere! :shock:
Top
Babbazzi
n00b
Messaggi: 12
Iscritto il: ven 04 ago , 2006 10:25 am

Ciao,
ho risolto in questo modo:

(non ho qui con me uno show run per cui ti riassumo in breve)

Ho scoperto che MSN come SkyPE e altri software simili è che utilizzano l'Universal Plug & Play che forwarda le porte. Il problema è che questa funzionalità non è volutamente supportata dai cisco xè è un bel buco nella sicurezza.
Cisco utilizza l'inspect come proprietà avanzata delle ACL in modo da conoscere il funzionamento di un dato programma.

Purtoppo il mio SOHO97 con code aggiornato alla versione più "completa" 12.4.4T non supporta questa funzione.

In conclusione ho modificato le mie ACL in modo da bloccare in entrata tutto tranne:
- i TCP established
- le TCP e UDP x emule, bittorrent... (poi nattate verso il pc)
- gli echo-reply dei ping
- le UDP dalla 1950 alla 65000

Quest'ultima x fare funzionare i programmi sopra citati.

Adesso, capisco che non sia una bella cosa avere aperte così tante porte, però analizzando la situazione qualcuno può entrare nel router attraverso queste ma non essendo nattate verso il mio pc resterebbero lì?

Ciao
Top
Avatar utente
active
Cisco pathologically enlightened user
Messaggi: 181
Iscritto il: dom 27 ago , 2006 10:32 pm
Località: /dev/null

Babbazzi ha scritto: Quest'ultima x fare funzionare i programmi sopra citati.
Per skype non c'e' bisogno di aprire nessuna porta. Io lo utilizzo normalmente senza aver fatto particolari acl (su cisco 837), poi non so se la differenza stia nel fatto che il tuo router e' un soho97... ma non penso... :?
active
Top
Spark
Cisco fan
Messaggi: 53
Iscritto il: ven 26 mag , 2006 3:27 pm

Beh a questo punto forse ti conviene nattare tutte quante le porte sull'ip della tua macchina e poi affidarti ad un personal firewall per la prevenzione delle intrusioni...
Top
Rispondi

Torna a “Configurazioni”