Ciao
ho fatto delle nat statiche tra ip privati e quelli pubblici.
Nessun firewall o altro sono attivi tutto spento
Provo da fuori i telnet verso ip pubblico ed arrivo su tutte le porte interne del pc in esame senza problemi.
addirittura sposto ftp dalla 21 alla 25 e da fuori mi collego alla 25
Ma quando provo a collegarmi alla 139 non c'è nulla da fare. da dentro la rete invece va perfetta....
Ora il problema è: tiscali bussines blocca la 139...loro dicono di no...oppure 877 ha qualcosa che fa lui il blocco?
Ho controllato non trovo nulla poi ho messo la configurazione base proprio per non avere problemi
di firewall ed altre cose che disturbano.
grazie
877 e porta 139
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
139 tcp è netbios...
A parte che è un suicidio aprirla da internet!
Sarai attaccato a non finire!
X la config, la acl ha match mentre provi il telnet?
A parte che è un suicidio aprirla da internet!
Sarai attaccato a non finire!
X la config, la acl ha match mentre provi il telnet?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
supermazzinga
- Cisco fan
- Messaggi: 62
- Iscritto il: sab 07 lug , 2007 7:26 pm
si lo so che è un suicidio...ma sto facendo solo delle prove..finite metterò il firewall attivo ed accesso solo in vpn....ma per ora sto provando il nat in varie forme e mi ero accorto di questa cosa...
Per le acl: quando ho creato la prima connessione ho fatto con sdm easy e gli ho detto di non fare acl o altro..tutto aperto e poi ho controllato e di fatto non ha creato ne regole ne altro...eppure è unica porta bloccata
Per le acl: quando ho creato la prima connessione ho fatto con sdm easy e gli ho detto di non fare acl o altro..tutto aperto e poi ho controllato e di fatto non ha creato ne regole ne altro...eppure è unica porta bloccata
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Se ci fai vedere la config magari...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
supermazzinga
- Cisco fan
- Messaggi: 62
- Iscritto il: sab 07 lug , 2007 7:26 pm
ciao
Ho attivao il nat in entrata per la 139 su ip assegnato atm se poi non va bene l'esempio resetto tutto e ci posso mettere anche gli ip pubblici sulla rete senza nat con tutto aperto ma non cambia nulla per la 139. Già in questa configurazione che leggi avevo messo il nat per server di posta e per altri servizi e tutto andava.....ho lasciato quindi alcuni essenziali e la 139 su un pc
Building configuration...
Current configuration : 5669 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname casa
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 emergencies
logging console critical
enable secret 5 $1$ODm/$FmP2NSrh9v0h7rqCIHB0e.
!
no aaa new-model
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-1192098710
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1192098710
revocation-check none
rsakeypair TP-self-signed-1192098710
!
!
crypto pki certificate chain TP-self-signed-1192098710
certificate self-signed 01
30820245 308201AE A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31313932 30393837 3130301E 170D3038 30383134 30383538
31375A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 31393230
39383731 3030819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100BF07 DC2EF505 81BF79F2 E36B1D9A 4BBC2266 E9107661 05BC9342 8B062808
99E6AA15 91B2D8D0 5C818560 CCBB1FD4 59BE0815 C6D3D50B 92B0AB6B DF3EE844
44B63868 2C6A6789 0B44C4C8 DFF62763 B5623EB1 554ADA08 EB3E0ED0 3560B00F
8C8B4564 2E33FDF7 D2CDF37C F86A6511 B187226F BDB831D2 55D11CBD 7EC4BBA4
365B0203 010001A3 6D306B30 0F060355 1D130101 FF040530 030101FF 30180603
551D1104 11300F82 0D636173 612E6361 73612E63 6F6D301F 0603551D 23041830
1680146C 3B3AB84A 849FB530 DE016F29 AF91B5A7 B5EAA430 1D060355 1D0E0416
04146C3B 3AB84A84 9FB530DE 016F29AF 91B5A7B5 EAA4300D 06092A86 4886F70D
01010405 00038181 00924D8E 2E652FF2 1D4257EE DA4619A9 A4D022C3 6ED82314
B28C78E5 F8F74D26 F25F0B14 9D38E316 5254A4BD CBFB58FB 095DB15F 663ADBF4
E3BB2B91 753C494B 8770896A 00585445 58B7F9C7 80373BF9 9FC5066F 286F25AE
3BD56625 BC0B8FAA 342175DD EF60145B 3EF80059 B50C3154 2F905B69 CEFB6FA3
056BD93E 650B2C68 B4
quit
dot11 syslog
no ip source-route
ip cef
!
!
!
!
no ip bootp server
no ip domain lookup
ip domain name casa.com
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!
username paotag privilege 15 secret 5 $1$j9XZ$zddFWdpgdhVp5CgshKsud.
!
!
archive
log config
hidekeys
!
!
ip ftp username xxxxxxxxxxxxxx
ip ftp password xxxxxxxxxxxxxx
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 10.10.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname xxxxxxxxxxxxxxxx
ppp chap password 7xxxxxxxxxxxxxxxx
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 10.10.10.3 50001 interface Dialer0 50001
ip nat inside source static udp 10.10.10.3 50001 interface Dialer0 50001
ip nat inside source static tcp 10.10.10.3 54155 interface Dialer0 54155
ip nat inside source static udp 10.10.10.3 45530 interface Dialer0 45530
ip nat inside source static tcp 10.10.10.2 139 interface Dialer0 139
!
logging trap emergencies
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
control-plane
!
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------
Cisco Router and Security Device Manager (SDM) is installed on this device and
it provides the default username "cisco" for one-time use. If you have already
used the username "cisco" to login to the router and your IOS image supports the
"one-time" user option, then this username has already expired. You will not be
able to login to the router with this username after you exit this session.
It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.
username <myuser> privilege 15 secret 0 <mypassword>
Replace <myuser> and <mypassword> with the username and password you want to
use.
-----------------------------------------------------------------------
^C
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
Ho attivao il nat in entrata per la 139 su ip assegnato atm se poi non va bene l'esempio resetto tutto e ci posso mettere anche gli ip pubblici sulla rete senza nat con tutto aperto ma non cambia nulla per la 139. Già in questa configurazione che leggi avevo messo il nat per server di posta e per altri servizi e tutto andava.....ho lasciato quindi alcuni essenziali e la 139 su un pc
Building configuration...
Current configuration : 5669 bytes
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime msec localtime show-timezone
service password-encryption
service sequence-numbers
!
hostname casa
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 3 log
security passwords min-length 6
logging buffered 51200 emergencies
logging console critical
enable secret 5 $1$ODm/$FmP2NSrh9v0h7rqCIHB0e.
!
no aaa new-model
clock timezone PCTime 1
clock summer-time PCTime date Mar 30 2003 2:00 Oct 26 2003 3:00
!
crypto pki trustpoint TP-self-signed-1192098710
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-1192098710
revocation-check none
rsakeypair TP-self-signed-1192098710
!
!
crypto pki certificate chain TP-self-signed-1192098710
certificate self-signed 01
30820245 308201AE A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 31313932 30393837 3130301E 170D3038 30383134 30383538
31375A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 31393230
39383731 3030819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100BF07 DC2EF505 81BF79F2 E36B1D9A 4BBC2266 E9107661 05BC9342 8B062808
99E6AA15 91B2D8D0 5C818560 CCBB1FD4 59BE0815 C6D3D50B 92B0AB6B DF3EE844
44B63868 2C6A6789 0B44C4C8 DFF62763 B5623EB1 554ADA08 EB3E0ED0 3560B00F
8C8B4564 2E33FDF7 D2CDF37C F86A6511 B187226F BDB831D2 55D11CBD 7EC4BBA4
365B0203 010001A3 6D306B30 0F060355 1D130101 FF040530 030101FF 30180603
551D1104 11300F82 0D636173 612E6361 73612E63 6F6D301F 0603551D 23041830
1680146C 3B3AB84A 849FB530 DE016F29 AF91B5A7 B5EAA430 1D060355 1D0E0416
04146C3B 3AB84A84 9FB530DE 016F29AF 91B5A7B5 EAA4300D 06092A86 4886F70D
01010405 00038181 00924D8E 2E652FF2 1D4257EE DA4619A9 A4D022C3 6ED82314
B28C78E5 F8F74D26 F25F0B14 9D38E316 5254A4BD CBFB58FB 095DB15F 663ADBF4
E3BB2B91 753C494B 8770896A 00585445 58B7F9C7 80373BF9 9FC5066F 286F25AE
3BD56625 BC0B8FAA 342175DD EF60145B 3EF80059 B50C3154 2F905B69 CEFB6FA3
056BD93E 650B2C68 B4
quit
dot11 syslog
no ip source-route
ip cef
!
!
!
!
no ip bootp server
no ip domain lookup
ip domain name casa.com
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!
username paotag privilege 15 secret 5 $1$j9XZ$zddFWdpgdhVp5CgshKsud.
!
!
archive
log config
hidekeys
!
!
ip ftp username xxxxxxxxxxxxxx
ip ftp password xxxxxxxxxxxxxx
!
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0.1 point-to-point
description $ES_WAN$$FW_OUTSIDE$
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 10.10.10.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip route-cache flow
!
interface Dialer0
ip address negotiated
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache flow
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname xxxxxxxxxxxxxxxx
ppp chap password 7xxxxxxxxxxxxxxxx
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface Dialer0 overload
ip nat inside source static tcp 10.10.10.3 50001 interface Dialer0 50001
ip nat inside source static udp 10.10.10.3 50001 interface Dialer0 50001
ip nat inside source static tcp 10.10.10.3 54155 interface Dialer0 54155
ip nat inside source static udp 10.10.10.3 45530 interface Dialer0 45530
ip nat inside source static tcp 10.10.10.2 139 interface Dialer0 139
!
logging trap emergencies
access-list 1 remark INSIDE_IF=Vlan1
access-list 1 remark SDM_ACL Category=2
access-list 1 permit 10.10.10.0 0.0.0.255
dialer-list 1 protocol ip permit
no cdp run
!
!
!
!
control-plane
!
banner exec ^C
% Password expiration warning.
-----------------------------------------------------------------------
Cisco Router and Security Device Manager (SDM) is installed on this device and
it provides the default username "cisco" for one-time use. If you have already
used the username "cisco" to login to the router and your IOS image supports the
"one-time" user option, then this username has already expired. You will not be
able to login to the router with this username after you exit this session.
It is strongly suggested that you create a new username with a privilege level
of 15 using the following command.
username <myuser> privilege 15 secret 0 <mypassword>
Replace <myuser> and <mypassword> with the username and password you want to
use.
-----------------------------------------------------------------------
^C
banner login ^CAuthorized access only!
Disconnect IMMEDIATELY if you are not an authorized user!^C
!
line con 0
login local
no modem enable
transport output telnet
line aux 0
login local
transport output telnet
line vty 0 4
login local
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Se il nat funziona su tutte le porte tranne che x la 139 è palese che il problema sta a livello di provider oppure hai un firewall sulla macchina 10.10.10.2ip nat inside source static tcp 10.10.10.3 50001 interface Dialer0 50001
ip nat inside source static udp 10.10.10.3 50001 interface Dialer0 50001
ip nat inside source static tcp 10.10.10.3 54155 interface Dialer0 54155
ip nat inside source static udp 10.10.10.3 45530 interface Dialer0 45530
ip nat inside source static tcp 10.10.10.2 139 interface Dialer0 139
Cmq, io metterei le acl in entrata e ip inspect (senò nn va + nulla) e controlli che il traffico arrivi sulla atm.
Se arriva il problema è sul pc, se nn arriva è dal provider
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
supermazzinga
- Cisco fan
- Messaggi: 62
- Iscritto il: sab 07 lug , 2007 7:26 pm
sulla 10.10.10.2 è tutto spento non ci sta proprio firewall antivir ecc
il traffico arriva su atm: non so cosa significa in termine tecnico.
o come vederlo
il traffico arriva su atm: non so cosa significa in termine tecnico.
o come vederlo
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Il traffico verso la 139 arriva alla interfaccia internet del router o si ferma prima?il traffico arriva su atm: non so cosa significa in termine tecnico.
L unico modo che hai x scoprirlo è configurare:
- ACL in ingresso
- IP inspect in uscita
Poi, con un bel "sh access-l xxx" vedi se sono arrivati pacchetti sulla 139 tcp
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
supermazzinga
- Cisco fan
- Messaggi: 62
- Iscritto il: sab 07 lug , 2007 7:26 pm
problema risolto alla radice....
invece di fare casino con cisco ho cambiato router e messo un sistema operativo vuoto....ho fatto le tabelle e tutto funziona meno che la porta 139...quindi non è cisco e non è il mio sistema ma è tiscali.....adesso provvedo ad insultarli visto che dichiarano di non bloccarla
grazie
invece di fare casino con cisco ho cambiato router e messo un sistema operativo vuoto....ho fatto le tabelle e tutto funziona meno che la porta 139...quindi non è cisco e non è il mio sistema ma è tiscali.....adesso provvedo ad insultarli visto che dichiarano di non bloccarla
grazie
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Facci sapere cosa dicono!
Cmq, nn è una regola cretina bloccare le porte netbios su internet! Anzi!
Cmq, nn è una regola cretina bloccare le porte netbios su internet! Anzi!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
supermazzinga
- Cisco fan
- Messaggi: 62
- Iscritto il: sab 07 lug , 2007 7:26 pm
sono passato dalla privata ad azienda perche mi bloccavano la 25 e non potevo avere un server di posta interno... ho fatto la bussines ed hanno dichiarato che nessuna porta è bloccata quindi pretendo che sia cosi.....se voglio far entrare sulla 139 un singolo ip con una tabella senza usare vpn o altro penso sia un mio diritto farlo.... ora dovro farci a botte per fargli capire all'assisteza che la bloccano.....
ai tempi della 25 mi è costata 30euro di telefonata erotica con loro..(visto che hanno il numero a pagamento) per fargli capire ed ammettere del blocco della 25... dopo una buona dose di insulti.....
appensa sapro' la risposta ufficiale la scrivo...
grazie
ai tempi della 25 mi è costata 30euro di telefonata erotica con loro..(visto che hanno il numero a pagamento) per fargli capire ed ammettere del blocco della 25... dopo una buona dose di insulti.....
appensa sapro' la risposta ufficiale la scrivo...
grazie
