Cisco 2620 e WIC-1ADSL: problemi con acl

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
MaskMan
n00b
Messaggi: 5
Iscritto il: ven 13 mag , 2005 12:38 pm
Località: Treviso

Dopo aver trascorso notti intere per trovare la configurazione corretta per la WIC-1ADSL, ora ho deciso di passarne altrettante per lavorare sulla sicurezza :cry:
Premetto che sono un novellino ma con tanta voglia di imparare :wink:
Vorrei bloccare tutto il traffico in entrata proveniente da internet (in ingresso alla WIC) lasciando "passare" esclusivamente la porta 4682. Con la configurazione sotto riportata, appena applico l'acl 111 all'interfaccia Dialer0 non navigo più!!! :( Dove sbaglio?!?
Grazie a tutti

!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxx
enable password xxxxx
!
no aaa new-model
ip subnet-zero
no ip source-route
ip cef
!
!
ip domain name tin.it
ip name-server 212.216.112.112
ip name-server 212.216.172.62
!
!
!
!
!
interface ATM0/0
no ip address
no ip mroute-cache
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet0/0
ip address 192.168.0.100 255.255.255.0
ip nat inside
speed auto
full-duplex
no cdp enable
!
interface Serial0/1
no ip address
shutdown
no cdp enable
!
interface Dialer0
ip address negotiated
ip access-group 111 in
ip nat outside
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp pap sent-username xxx password 0 xxx
!
ip nat inside source list 1 interface Dialer0 overload
no ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 111 permit tcp any any eq 4672
access-list 111 deny ip any any

no cdp run
!
snmp-server community public RO
snmp-server enable traps tty
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
password xxx
login
!
!
!
end
Avatar utente
TheIrish
Site Admin
Messaggi: 1840
Iscritto il: dom 14 mar , 2004 11:26 pm
Località: Udine
Contatta:

C'è un errore di fondo anche nella tua descrizione: tu dici di voler far passare solo la porta da te indicata... ma non è vero. Vuoi che passi quella porta e che passi tutto il traffico di ritorno, quello stimolato dalle richieste da te inviate.
Per ottenere questo risultato:

Codice: Seleziona tutto

access-list 111 permit tcp any any established
in più, non hai indicato alcuna istruzione per permettere il passaggio dei responsi dei DNS.

Codice: Seleziona tutto

access-list 111 permit udp host <dns_primario> eq domain any
access-list 111 permit udp host <dns_secondario> eq domain any
ovviamente, tutto questo prima del deny any.
In più ricordati che aprire una porta non permette agli utenti esterni di accedere ad un dato servizio. Sarebbe necessario istruire una NAT statica per farlo.
Ma questo ne parlaremo una volta che il primo problema è risolto
MaskMan
n00b
Messaggi: 5
Iscritto il: ven 13 mag , 2005 12:38 pm
Località: Treviso

Grande TheIrish, le tue indicazioni funzionano alla grande :D Ho provato a testare le porte dall'esterno attraverso http://www.pcflank.com, risultano tutte "closed".
Da novellino devo ancora capire bene la logica della acl ma grazie ai tuoi preziosi suggerimenti un pò alla volta ce la farò :wink: Ora cercerò di aprire la porta 4672 e "nattarla" correttamente...
Potresti, gentilmente, consigliarmi una configurazione base/minima (acl da aggiungere) per garantire un minimo di sicurezza per navigare in internet e prevenire eventuali attacchi Hacker?

Grazie ancora per la disponibilità
Renato

allego la configurazione attuale:

Codice: Seleziona tutto

!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxx
enable password xxx
!
no aaa new-model
ip subnet-zero
no ip source-route
ip cef
!
!
ip domain name tin.it
ip name-server 212.216.112.112
ip name-server 212.216.172.62
!
!
!
!
interface ATM0/0
 no ip address
 no ip mroute-cache
 no atm ilmi-keepalive
 dsl operating-mode auto
 hold-queue 224 in
 pvc 8/35 
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface FastEthernet0/0
 ip address 192.168.0.100 255.255.255.0
 ip nat inside
 speed auto
 full-duplex
 no cdp enable
!
interface Serial0/1
 no ip address
 shutdown
 no cdp enable
!
interface Dialer0
 ip address negotiated
 ip access-group 111 in
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp pap sent-username xxx password 0 xxx
!
ip nat inside source list 1 interface Dialer0 overload
no ip http server
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 111 permit tcp any any established
access-list 111 permit udp host 212.216.112.112 eq domain any
access-list 111 permit udp host 212.216.172.62 eq domain any
access-list 111 deny   ip any any
no cdp run
!
snmp-server community public RO
snmp-server enable traps tty
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
 password xxx
 login
!
!
!
end
Rispondi