CiscoForums.it

mi sono ritrovato tra le mani un 2621 e lo ho settato per funzionare (per ora) come router di casa

volevo sapere se secondo voi ho commesso degli errori di configurazione o se cmq posso migliorare la configurazione raggiunta .
a casa ho una macchina su cui girano sempre amule e Dc e quindi ho forwardato le porte necessarie .



Current configuration : 2007 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco2621
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$BM8W$sLBWuDXmMhJaIYhQzSNk01
!
no aaa new-model
ip subnet-zero
ip cef
!
!
no ip domain lookup
ip name-server 213.156.xx.xx
ip name-server 213.156.xx.xx
!
ip audit po max-events 100
!
!
interface FastEthernet0/0
ip address 172.16.0.254 255.255.255.0
ip nat inside
speed auto
full-duplex
!
interface FastEthernet0/1
ip address 23.243.1xx.xxx 255.255.248.0
ip access-group 101 in
ip nat outside
speed auto
full-duplex
!
ip nat pool ovrld-nat 23.243.1xx.xxx 23.243.1xx.xxx netmask 255.255.248.0
ip nat inside source list 2 pool ovrld-nat overload
ip nat inside source static tcp 172.16.0.4 4662 23.243.1xx.xxx 4662 extendable
ip nat inside source static udp 172.16.0.4 4672 23.243.1xx.xxx 4672 extendable
ip nat inside source static udp 172.16.0.4 4665 23.243.1xx.xxx 4665 extendable
ip nat inside source static tcp 172.16.0.4 9176 23.243.1xx.xxx 9176 extendable
ip nat inside source static udp 172.16.0.4 9176 23.243.1xx.xxx 9176 extendable
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 23.243.11x.X
!
!
access-list 1 permit 172.16.0.0 0.0.0.255
access-list 2 permit 172.16.0.0 0.0.0.255
access-list 101 permit icmp any any
access-list 101 deny tcp any any range ftp-data telnet
access-list 101 deny tcp any any eq www
access-list 101 deny tcp any any eq 2000
access-list 101 deny tcp any any eq 2049
access-list 101 deny udp any any eq 2049
access-list 101 permit tcp any any eq 4662
access-list 101 permit udp any any eq 4665
access-list 101 permit udp any any eq 4672
access-list 101 deny tcp any any range 6000 6010
access-list 101 permit tcp any any gt 1023
access-list 101 permit udp any any gt 1023
!

line con 0
line aux 0
line vty 0 4
access-class 1 in
exec-timeout 0 0

vorrei soprattutto sotituire l'access-list 101 con una route-map cosi da avere piu flessibilita di configurazione (attualmente se dovessi togliere una riga devo riscrivere tutta l'access list ).
la mia connessione adsl è fastweb adsl 6 mb

che ve ne pare ?

Premetto che non sono un super esperto, cmq:
sarebbero da configurare le password su vty, console e aux, oltre che mettere il service password-encryption.
per le acces list partendo dal principio che alla fine c'è l'implicit "deny any" le farei più snelle mettendo solo i comandi di permit.

Poi ho notato questo:
interface FastEthernet0/1
ip address 23.243.1xx.xxx 255.255.248.0

la maschera è corretta?
Anche le istruzioni di nat penso possano essere snellite.

Ehh si potrebbero fare mille cose, ci sarebbe da starci su una giornata a scrivere il post!


Ciao

ma secondo voi non ho fatto nessun errore di concetto ? l'access lists è giusta ? il nat è settato bene ,oppure funziona pero anche qui ho commesso qualche errore concettuale ?(come in quegli esercizi matematici dove il risultato torna ma il ragionamento è sbagliato ) .

usando il nat mi sono accorto che non c'è la possibilita di dire al router con un unico comando "natta quest'intervallo di porte (tcp/udp) su questo host . avete qualche idea di come fare ? se potessi creare degli script che ios riuscisse a leggere potrei risolvere cosi ?

grazie cmq delle risposte .

ho seguito il tuo consiglio ed ho rivisto le access list ed impostato le password per l'accesso al router tramite vty e aux , mettere password alla console mi pareva suprefluo visto che il router sta a casa .

ecco un nuovo abbozzo di configurazione :

Current configuration : 1758 bytes
!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Cisco2621
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$BM8W$sLBWuDXmMhJaIYhQzSNk01
!
no aaa new-model
ip subnet-zero
ip cef
!
!
no ip domain lookup
ip name-server 213.156.54.80
ip name-server 213.156.54.81
!
ip audit po max-events 100
!
!
interface FastEthernet0/0
ip address 172.16.0.254 255.255.255.0
ip nat inside
speed auto
full-duplex
!
interface FastEthernet0/1
ip address 23.243.115.107 255.255.248.0
ip access-group CONF1 in
ip nat outside
speed auto
full-duplex
!
ip nat pool ovrld-nat 23.243.115.107 23.243.115.107 netmask 255.255.248.0
ip nat inside source list 2 pool ovrld-nat overload
ip nat inside source static tcp 172.16.0.4 4662 23.243.115.107 4662 extendable
ip nat inside source static udp 172.16.0.4 4672 23.243.115.107 4672 extendable
ip nat inside source static udp 172.16.0.4 4665 23.243.115.107 4665 extendable
ip nat inside source static tcp 172.16.0.4 9176 23.243.115.107 9176 extendable
ip nat inside source static udp 172.16.0.4 9176 23.243.115.107 9176 extendable
no ip http server
no ip http secure-server
ip classless
ip route 0.0.0.0 0.0.0.0 23.243.112.1
!
!
!
ip access-list extended CONF1
permit icmp any any echo
permit icmp any any echo-reply
permit tcp any any established
deny tcp any any eq 2000
deny tcp any any eq 2049
deny udp any any eq 2049
deny tcp any any range 6000 6010
permit tcp any any gt 1023
permit udp any any gt 1023
access-list 2 permit 172.16.0.0 0.0.0.255
!
!
line con 0
line aux 0
password cisco
login
line vty 0 4
access-class 2 in
exec-timeout 0 0
password cisco
login
!
!
end

per quanto riguarda il nat avete qualche consiglio ?

stavo cercando di far funzionare vlc dietro nat per lo streaming video .
in fastweb infatti c'è la possibilita di vedere i canali in chiaro semplicemente collegandosi con vlc agli indirizzi multicast dei canali (239.113.1.x 77<x<90 )
per far questo a quanto ho capito devo abilitare il routing multicast ed sulle interfaccie interessate il pim sparse-mode pero non è che mi sia riuscito tanto bene(difatti ancora nessun risultato positivo). Provando a sniffare uno streaming video effettuato da un client direttamente attaccato a a fastweb ho notato che anche se inizialmente il client chiama il 239.113.1.x questa non è la sorgente di stream ma penso solo il gruppo multicast a cui il client si joina perche poi il flusso di stream avviene appunto tra un normle indirizzo internet (cmq interno a fastweb ) ed l'indirizzo multicast del gruppo multicast cui mi sono associato .

qualsiasi consiglio è bene accetto.

aiuto!!

mi raccomando non sforzatevi troppo le meningi !!!!