emule

[hook]

Ciao ragazzi.
Ho problemi con emule. Un solo PC della mia rete ha il diritto di usare emule (perchè sono un tiranno) . Ho letto i vecchi topics ma mi sa che non ho capito bene perchè continua a non funzionare correttamente. Per favore indicatemi soprattutrto la causa più che la soluzione.

Questa è la configurazione del mio router:

Codice: Seleziona tutto

Current configuration : 3671 bytes
!
! Last configuration change at 19:05:00 CEST Mon Jul 11 2005
!
version 12.2
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname SuperWall
!
logging buffered 4096 informational
enable secret 5 ************************
!
username ******** password 7 ***************************
memory-size iomem 15
clock timezone CET 1
clock summer-time CEST recurring last Sun Mar 1:00 last Sun Oct 1:00
ip subnet-zero
!
!
ip domain name casa.net
ip dhcp excluded-address 192.168.0.1 192.168.0.10
!
ip dhcp pool CASADHCP
   network 192.168.0.0 255.255.255.0
   default-router 192.168.0.1 
   dns-server 212.216.112.112 212.216.172.62 
!
ip inspect name OUTBOUND tcp
ip inspect name OUTBOUND udp
ip inspect name OUTBOUND ftp
ip inspect name OUTBOUND http
ip inspect name OUTBOUND smtp
ip audit notify log
ip audit po max-events 100
ip ssh time-out 15
vpdn enable
!
vpdn-group pppoe
 request-dialin
  protocol pppoe
!
!
!
!
!
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
 pvc 8/35 
 pppoe-client dial-pool-number 1
 !
 dsl operating-mode auto
 no fair-queue
!
interface BRI0
 no ip address
 shutdown
!
interface FastEthernet0
 ip address 192.168.0.1 255.255.255.0
 ip access-group 101 in
 ip nat inside
 ip inspect OUTBOUND in
 ip tcp adjust-mss 1452
 speed auto
!
interface Dialer0
 no ip address
!
interface Dialer1
 mtu 1492
 ip address negotiated
 ip access-group 100 in
 ip nat outside
 encapsulation ppp
 dialer pool 1
 ntp disable
 ppp chap hostname ***********
 ppp chap password 7 ***************
 ppp pap sent-username ********* password 7 ***************
!
ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static tcp 192.168.0.5 4662 interface Dialer0 4662
ip nat inside source static udp 192.168.0.5 4672 interface Dialer0 4672
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
!
!
logging facility local2
logging 192.168.0.9
logging 192.168.0.2
access-list 1 permit 192.168.0.0 0.0.0.255
access-list 2 remark Utilizzata per limitare la provenienza dei pacchetti NTP
access-list 2 permit 192.168.0.9
access-list 2 deny   any
access-list 100 permit icmp any any echo-reply
access-list 100 deny   ip any any
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq www
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq pop3
access-list 101 permit udp 192.168.0.0 0.0.0.255 any eq domain
access-list 101 remark Abilito https
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq 443
access-list 101 permit udp 192.168.0.0 0.0.0.255 any eq ntp
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any eq smtp
access-list 101 permit icmp 192.168.0.0 0.0.0.255 any echo
access-list 101 permit tcp host 192.168.0.5 any eq 4662
access-list 101 permit udp host 192.168.0.5 any eq 4672
access-list 101 remark Abilito ssh
access-list 101 permit tcp host 192.168.0.2 host 192.168.0.1 eq 22
access-list 101 permit tcp 192.168.0.0 0.0.0.255 any range ftp-data ftp
access-list 101 remark Abilito DHCP
access-list 101 permit udp any any eq bootps
access-list 101 deny   ip any any
!
!
line con 0
 password 7 ***********************
 login
line aux 0
 password 7 ***********************
 login
line vty 0 4
 password 7 ***********************
 login local
 transport input ssh
line vty 5 14
 password 7 ***********************
 login local
 transport input ssh
line vty 15
 password 7 ***********************
 login local
 transport input ssh
!
no scheduler allocate
ntp authentication-key 1 md5 *********************** 7
ntp authenticate
ntp trusted-key 1
ntp clock-period 17179707
ntp server 192.168.0.9 key 1
ntp server 192.168.0.9 source FastEthernet0
end

Sono graditissime le critiche anche in altre parti della configurazione, sto imparando e voglio imparare bene.

Grazie a tutti

[TheIrish]

ip dhcp pool CASADHCP
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 212.216.112.112 212.216.172.62

sei sicuro che la macchina alla quale hai dato il diritto di usare e-mule ottenga sempre lo stesso indirizzo (192.168.0.5)?

interface FastEthernet0
ip address 192.168.0.1 255.255.255.0
ip access-group 101 in

quella regola di access-group che controlla verso i dati entranti. Ok, è corretta, ma era quello che volevi fare?
Tra l'altro, poi dici

access-list 101 permit tcp host 192.168.0.5 any eq 4662
access-list 101 permit udp host 192.168.0.5 any eq 4672

Questa access-list fallisce il suo scopo, perché non è detto che le destinazioni siano 4662 e 4672. Quelle sono le porte di default, ma nulla vieta di cambiarle. Oltre tutto, quelle sono le informazioni per i client, non conosco il protocollo ma non so che porte usino i server dell'eDonkey Network.

ip nat inside source list 1 interface Dialer1 overload
ip nat inside source static tcp 192.168.0.5 4662 interface Dialer0 4662
ip nat inside source static udp 192.168.0.5 4672 interface Dialer0 4672

Questo invece è un errore. Dai l'overload al Dialer1 mentre le statiche al Dialer0 (che è vuoto!!).

access-list 100 permit icmp any any echo-reply
access-list 100 deny ip any any

questa acl: in primis non mi piace, in secondo luogo non è sufficiente, devi anche aprirti le porte per e-mule altrimenti le connessioni iniziate dall'esterno non passano.
Per ora, questo

[hook]

Ciao TheIrish, grazie per avermi risposto.

sei sicuro che la macchina alla quale hai dato il diritto di usare e-mule ottenga sempre lo stesso indirizzo (192.168.0.5)?

Si, l'indirizzo di quella macchina è statico. Ho riservato gli indirizzi da 192.168.0.1 a 192.168.0.10 come indirizzi statici, dando la possibilità al server DHCP di assegnare dal 192.168.0.11 in poi per gli "ospiti" (casa mia è un porto di mare).

quella regola di access-group che controlla verso i dati entranti. Ok, è corretta, ma era quello che volevi fare?
Tra l'altro, poi dici

Il mio pensiero è stato il seguente: blocco tutto e permetto il traffico in outbound che voglio io.

Questa access-list fallisce il suo scopo, perché non è detto che le destinazioni siano 4662 e 4672. Quelle sono le porte di default, ma nulla vieta di cambiarle. Oltre tutto, quelle sono le informazioni per i client, non conosco il protocollo ma non so che porte usino i server dell'eDonkey Network.

Ok, chiaro per collegarsi al server si usano altre porte... mi devo studiare come funziona la rete edonkey.

Questo invece è un errore. Dai l'overload al Dialer1 mentre le statiche al Dialer0 (che è vuoto!!).

opsssssssss

questa acl: in primis non mi piace, in secondo luogo non è sufficiente, devi anche aprirti le porte per e-mule altrimenti le connessioni iniziate dall'esterno non passano.

l'ho scritta pensando di chiudere tutto e di permettere solo il traffico di ritorno che viene gestito dalle CBAC. la riga

Codice: Seleziona tutto

 access-list 100 permit icmp any any echo-reply

l'ho inserita per poter effettuare i ping dal router verso internet.
Pensavo che le porte per emule venissero aperte dinamicamente come quelle per gli altri servizi che avevo consentito(www, email, ftp..)
Come la devo modificare?

Nel pomeriggio provo a correggere gli errori che mi hai fatto notare ed a modificare l'access list 101 con le porte giuste per i server 'edonkey... poi faccio un riassunto

Grazie ancora per il tempo che mi hai dedicato.

[dimi82]

ciao, anch'io sto tentando di aprirmi le porte per edonkey 2000.

avrei una domanda: ma di default non è tutto aperto?

seconda domanda... l'access list 100 l'hai attivata con ip access-group nel dialer:

interface Dialer1
mtu 1492
ip address negotiated
ip access-group 100 in


ma l'access list 101 dove l'hai attivata?


PS: te hai aperto la porta tcp e udp con il static sul dialer0, tra l'altro sbagliato, che correggendo con dialer1 diviene corretto?

Grazie mille
ciao!

[hook]

di default si.. ma non è il mio caso.
Tutto aperto significa nessuna sicurezza. Io sono partito dall'idea nego tutto e permetto solo i servizi che voglio io.
Il traffico di ritorno è gestito dalla CBAC che efettuano un filtraggio di tipo stateful e controllono anche alcuni protocolli del livello applicativo.

La Access List 101 è applicata all'interfaccia fastethernet0 (l'interfaccia interna).

Per far funzionare emule ho aperto altre due porte per la comunicazione con i server.

Seguono le correzioni alla configurazione postata precedentemente.

Codice: Seleziona tutto

[...]

ip nat inside source static udp 192.168.0.5 4672 interface Dialer1 4672
ip nat inside source static tcp 192.168.0.5 4662 interface Dialer1 4662

[...]

access-list 101 permit tcp host 192.168.0.5 any eq 4662
access-list 101 permit udp host 192.168.0.5 any eq 4672
access-list 101 permit tcp host 192.168.0.5 any eq 4242
access-list 101 permit tcp host 192.168.0.5 any eq 4661

[...]

In particolare le porte tcp 4662 e udp 4672 servono alla rete Kad, le tcp 4242 e 4661 ai server eD2K
Le CBAC aprono le porte per il traffico di ritorno.
Emule funziona sia in upload che download.