router cisco 837

[mako]

salve a tutti!!!
appena iscritto e già pieno di problemi....

il mio cruccio è questo:
ho configurato un cisco 837 con relative policy di sicurezza,accesso a internet,ecc. ecc.

tutto perfettamente funzionante tranne per il curiosissimo fatto che i messaggi di posta superiori a 20 kb o con allegati di 20 o più kb non escono.

premettendo che non c'è nessun mail server, mi domando cosa sia accaduto.

Grazie già da adesso a tutti.

[Sasami]

Ciao! innanzi tutto potresti dirci se hai usato CRWS (la configurazione web) oppure CLI (riga di comando) così possiamo fare riferimento ad un know-how preciso

[mako]

ciao,
innanzitutto grazie per l'interessamento...
la configurazione è stata eseguita da riga di comando

[Sasami]

ok, perfetto.
l'unica cosa che mi viene in mente è che tu possa aver abilitato un comando di inspect per l'smtp e che tu abbia impostato un max-data troppo basso.
quindi controlla il tuo show run e vedi se hai una lista di inspect attive e aggiungi o modifica:

Codice: Seleziona tutto

ip inspect name <nome> smtp maxdata 40000000

se, al contrario, non hai degli inspect attivi o la modifica non funziona... forse è il caso che tu posti il tuo show run in questo thread...
non sottovalutare il fatto che potrebbe essere pure qualcos'altro, tipo una policy di un antivirus

[mako]

proverò sicuramente ad aggiungere il comando da te suggerito.

vorrei postarti tutta la conf. ma non ho il cisco sottomano
appena lo aggrinfio te la mando subito


scusami, ma quando parli di policy antivirus ti riferisci a quelle settate localmente sui pc dell rete o a quelle settate sul router?

un altra cosa che mi viene in mente è questa:
è possibile che il problema sia dovuto alla omissione di questo comando
permit tcp 100.0.0.0 0.0.0.255 gt 1023 any eq smtp ????

grazie ancora

[Sasami]

Allora, quando parlavo di policy dell'antivirus facevo riferimento agli antivirus installati nei PC. Il router in questione non è in grado di riconoscere i virus.
C'è invece una cosa che mi lascia mooooolto perplessa.

Codice: Seleziona tutto

permit tcp 100.0.0.0 0.0.0.255 gt 1023 any eq smtp ???? 

100.0.0.0 ??? è un indirizzo interno alla tua rete? o hai 254 indirizzi pubblici all'interno della tua lan... oppure hai usato indirizzi a caso e non indirizzi privati...
meglio che posti la conf, potremmo avere un problema

[mako]

sono indirizzi a caso...

cmq il comando che ti lascia perplessa dovrebbe permettere a tutti gli indirizzi ip della lan di essere abilitati al traffico di posta in uscita... (spero di non aver detto sciocchezze )

la conf, ahimè non la posso postare fino a domani sigh,sigh

thanks again!!

[MrCisco]

Il fatto è che, all'interno di una lan, si può usare solo un certo tipo di indirizzi, noti come indirizzi privati. Ammeno che non ti siano stati assegnati più ip pubblici (cmq, non nella gamma 100.xx.xx.xx) ai pc della tua lan puoi assegnare solo ip privati.
Beh, ci risentiamo quando hai tutto in mano.
Saluti!

[mako]

allora, dove eravamo rimasti???

ah,ecco ....

finalmente sono riuscito a mettere le mani sul cisco, ma senza risultati..

il comando ip inspect name INTERNET-IN smtp maxdata 40000000 non lo ha accettato(non riconosce l'istruzione "maxdata")

eccoti la conf per intero:

version 12.3
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname gruppo
!
enable secret 5 $1$G3Q2$SL4jNisDPTwmabjq4IV5h.
!
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool CLIENT
import all
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
lease 0 2
!
!
no ip bootp server
ip cef
ip inspect audit-trail
ip inspect max-incomplete low 20
ip inspect one-minute low 20
ip inspect udp idle-time 15
ip inspect tcp idle-time 1800
ip inspect tcp finwait-time 1
ip inspect tcp synwait-time 15
ip inspect name INTERNET-IN tcp alert on audit-trail on
ip inspect name INTERNET-IN udp alert on audit-trail on
ip inspect name INTERNET-IN smtp alert on audit-trail on
ip inspect name INTERNET-IN http alert on audit-trail on
ip inspect name INTERNET-IN fragment maximum 50 timeout 1
ip inspect name INTERNET-OUT tcp alert on audit-trail on
ip inspect name INTERNET-OUT udp alert on audit-trail on
ip inspect name INTERNET-OUT smtp alert on audit-trail on
ip inspect name INTERNET-OUT http alert on audit-trail on
ip inspect name INTERNET-OUT fragment maximum 50 timeout 1
ip audit notify log
ip audit po max-events 100
ip audit smtp spam 20
ip audit name INTERNET-IN info action alarm
ip audit name INTERNET-IN attack action alarm drop reset
ip audit name INTERNET-OUT info action alarm
ip audit name INTERNET-OUT attack action alarm drop reset
vpdn enable
!
no ftp-server write-enable
!
!
!
!
!
!
!
interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip access-group E0-in in
no ip unreachables
no ip proxy-arp
ip nat inside
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
bundle-enable
dsl operating-mode auto
!
interface ATM0.1 point-to-point
ip address xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx
ip access-group Internet-in in
ip mtu 1492
ip nat outside
ip inspect INTERNET-IN in
ip inspect INTERNET-OUT out
ip audit INTERNET-IN in
ip audit INTERNET-OUT out
pvc 8/35
protocol ip xxx.xxx.xxx.xxx broadcast
oam-pvc manage
encapsulation aal5snap
!
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
ip nat inside source list 1 interface ATM0.1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
no ip http server
no ip http secure-server
!
!
ip access-list extended E0-in
ip access-list extended e0-in
deny ip any 0.0.0.0 0.255.255.255 log
deny ip any 10.0.0.0 0.255.255.255 log
deny ip any 127.0.0.0 0.255.255.255 log
deny ip any 192.0.0.0 0.255.255.255 log
deny ip any 172.16.0.0 0.15.255.255
deny ip any 224.0.0.0 31.255.255.255 log
deny ip any 192.0.2.0 0.0.0.255 log
deny ip any 169.254.0.0 0.0.255.255 log
permit icmp 192.168.0.0 0.0.0.255 host 217.222.115.146
deny ip any host 192.168.0.1 log
deny ip any host 217.222.115.146 log
permit tcp 192.168.0.0 0.0.0.255 gt 1023 any eq www
permit tcp 192.168.0.0 0.0.0.255 gt 1023 any eq 443
permit udp 192.168.0.0 0.0.0.255 gt 1023 any eq domain
permit ip 192.0.0.0 0.255.255.255 any
permit icmp 192.168.0.0 0.0.0.255 any echo
permit tcp 192.168.0.0 0.0.0.255 gt 1023 any eq smtp
deny tcp any any range 0 65535 log
deny udp any any range 0 65535 log
deny ip any any log
!
!
ip access-list extended internet-in
deny ip 192.168.0.0 0.0.0.255 any log
deny ip host 217.222.115.146 any log
deny ip 0.0.0.0 0.255.255.255 any log
deny ip 127.0.0.0 0.255.255.255 any log
deny ip 10.0.0.0 0.255.255.255 any log
deny ip 172.16.0.0 0.15.255.255 any log
deny ip 192.0.2.0 0.0.0.255 any log
deny ip 169.254.0.0 0.0.255.255 any log
permit icmp any 192.168.0.0 0.0.0.255 time-exceeded
permit icmp any 192.168.0.0 0.0.0.255 echo-reply
permit icmp any 192.168.0.0 0.0.0.255
permit tcp 192.168.0.0 0.0.0.255 gt 1023 any eq smtp
deny tcp any range 0 65535 any range 0 65535 log
deny udp any range 0 65535 any range 0 65535 log
deny ip any any log
access-list 1 permit any
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 99 deny any log
!
line con 0
exec-timeout 120 0
no modem enable
stopbits 1
line aux 0
line vty 0 4
access-class 23 in
exec-timeout 0 0
password 7 073C00787B3B372A
login
!
scheduler max-task-time 5000
!
end

[Sasami]

Codice: Seleziona tutto

ip audit smtp spam 20 

ti dice qualcosa?
puoi eventualmente eliminare la regola (con no <regola>) oppure alzare il valore.
Per la regola del maxdata... forse è max-data... o forse è legata alla mia versione di IOS... comunque il problema dev'essere proprio quell'audit

[mako]

non mi dice nulla.... ma forse perche sono una mezza sega
cmq grazie mille. proverò il tuo suggerimento.

...non è neanche max-data. ho già provato


grazie ancora, non mi aspettavo una risposta di sabato..

a risentirci!!!

[Sasami]

grazie ancora, non mi aspettavo una risposta di sabato..

tanta, tanta influenza!
CMQ, si dev'essere quell'ip audit smtp spam 20 che mi fa pensare qualcosa tipo "considera spam il traffico smtp superiore a 20 K).

[mako]

navigando quà e la ho cercato di capire cosa facesse il comando
ip audit smtp spam 20.

riporto integralmente cosa dice a proposito il sito cisconetwork.net
all indirizzo http://www.cisconetwork.net/html/module ... rint&sid=6

Configurazione dell’Intrusion Detection

Vediamo una semplice configurazione del sistema di Intrusion Detection. Ad esempio, abilitiamo un controllo sulle mail entranti: se i destinatari della mail sono più di 20 la trattiamo con SPAM e la scartiamo. Inoltre abilitiamo la notifica degli allarmi a livello di log (syslog o console a seconda della configurazione).

ip audit smtp spam 20
ip audit notify log


ergo questo non risolve il mio problema perchè è un controllo sulle mail in entrata e non in uscita

il dubbio mi resta anche perchè l' smtp è il protocollo di uscita(lo sa persino il sottoscritto...) e il sito in questione sembra non accorgersene.

il caso si complica Watson!!!

cosa ne pensiiiiii?????

saluti
[/b]

[|Dr_AXIA|]

Forse serve per i casi in cui ci si prenda un virus che comincia a spammare mail a balù dalla propria rubrica privata...quindi questa impostazione dovrebbe scartare in partenza il forward di mail che partono a destinatari>=20 dal proprio PC....può essere?

[Samba84]

Perdona la schiettezza... ma veramente il router funziona con quelle ACL?
ora, non mi sono letto riga per riga, ma per me non va...