Ciao a tutti sono un nuovo iscritto ringrazio anticipatamente chi mi aiuterà...
Premessa
Ho un router 837 configurato da uno capace..
Qualcosina sò fare tipo se ho la stringa giusta da inserire riesco a collegarmi inserirla ecc. ecc.
Problema
Su questo router c'è una nat statica verso un indirizzo privato della mia rete verso una porta precisa.. conf. in questa forma
ip nat inside source static tcp 192.168.50.50 502 88.88.88.88 502 extendable
Che riga di conf devo inserire per bloccare l'accesso solo a una mia opportuna access_list e non lasciare aperta la porta 502 a tutto il mondo internet??
Grazie a tutti...
Cisco 837 ACL
Moderatore: Federico.Lagni
- TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Riassumo:
1. Nat statico verso 192.168.50.50 porta 502
2. Permesso di accesso a 192.168.50 porta 502 a solo alcuni indirizzi internet
Corretto?
Questo non può essere ottenuto modificando un'istruzione di nat ma posizionando una ACL sull'interfaccia WAN o LAN.
Sapendo che dei dati destinati alla porta 502 vanno inesorabilmente verso 192.168.50.50, possiamo inserire l'istruzione sull'interfaccia WAN, essa sia atm0.1 o dialer1 o qualsiasi... ecco un esempio
L'indirizzo IP pubblico presumo con convinzione che sia statico. E' l'unico pubblico presente o ce ne sono altri?
Se avessi bisogno di aiuto nella scrittura dell'ACL, facci sapere
1. Nat statico verso 192.168.50.50 porta 502
2. Permesso di accesso a 192.168.50 porta 502 a solo alcuni indirizzi internet
Corretto?
Questo non può essere ottenuto modificando un'istruzione di nat ma posizionando una ACL sull'interfaccia WAN o LAN.
Sapendo che dei dati destinati alla porta 502 vanno inesorabilmente verso 192.168.50.50, possiamo inserire l'istruzione sull'interfaccia WAN, essa sia atm0.1 o dialer1 o qualsiasi... ecco un esempio
L'indirizzo IP pubblico presumo con convinzione che sia statico. E' l'unico pubblico presente o ce ne sono altri?
Se avessi bisogno di aiuto nella scrittura dell'ACL, facci sapere
-
- n00b
- Messaggi: 8
- Iscritto il: lun 14 mar , 2005 10:30 am
Ciao..
Si corretto hai riassunto bene...
Ecco il mio problema è proprio scrivere l'ACL corretta..
L'indirizzo ip pub. è l'unico presente l'interfaccia wan è ATM0 pensavo di inserire una riga..
ip access-group (ip access list)...
però non mi è chiaro come scriverla in/out, cercavo una guida sulle ACl per apprendere un pò ma non ho trovato un granche...
Ciao..Grazie mille..
Si corretto hai riassunto bene...
Ecco il mio problema è proprio scrivere l'ACL corretta..
L'indirizzo ip pub. è l'unico presente l'interfaccia wan è ATM0 pensavo di inserire una riga..
ip access-group (ip access list)...
però non mi è chiaro come scriverla in/out, cercavo una guida sulle ACl per apprendere un pò ma non ho trovato un granche...
Ciao..Grazie mille..
- TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Purtroppo le guide in riguardo sono un po' scarsine. E' da un anno che ripeto che ci sto lavorando per scriverne una io, ma sono ancora fermo.
Per il discorso in e out, c'è una regola universale che devi considerare:
vedi le ACL come le vedrebbe il router dall'interno
Esempio, se i PC vogliono uscire verso internet inviando i dati alla ethernet0, per il router quei dati saranno IN, perché entrano nel router.
Se dall'internet arrivano dei dati per un PC della LAN, per atm0.1 i dati saranno IN, per l'ethernet saranno OUT.
Un'idea per ottenere quello che vuoi può essere la seguente:
In questo modo permetti a xxx.xxx.xxx.xxx e yyy.yyy.yyy.yyy di accedere alla porta 502 (e poi essere nattati all'interno), neghi che lo facciano gli altri e quindi permetti il resto del traffico passi. Bada, è solo un esempio, ci potrebbero essere 1000 e più regole per rendere sicura la tua rete 
In questo caso, l'acl 102 può essere posizionata su atm0.1 (non credo atm0, al contrario di quanto scrivi tu) con direzione IN.
Per il discorso in e out, c'è una regola universale che devi considerare:
vedi le ACL come le vedrebbe il router dall'interno
Esempio, se i PC vogliono uscire verso internet inviando i dati alla ethernet0, per il router quei dati saranno IN, perché entrano nel router.
Se dall'internet arrivano dei dati per un PC della LAN, per atm0.1 i dati saranno IN, per l'ethernet saranno OUT.
Un'idea per ottenere quello che vuoi può essere la seguente:
Codice: Seleziona tutto
access-list 102 permit tcp host xxx.xxx.xxx.xxx any eq 502
access-list 102 permit tcp host yyy.yyy.yyy.yyy any eq 502
access-list 102 deny tcp any any eq 502
access-list 102 permit ip any any

In questo caso, l'acl 102 può essere posizionata su atm0.1 (non credo atm0, al contrario di quanto scrivi tu) con direzione IN.
-
- n00b
- Messaggi: 8
- Iscritto il: lun 14 mar , 2005 10:30 am
...Bene...
Sta volta l'ho fatta grossa...
facendo copy qua copy la a un certo punto mi ha chiesto erase la flash io gli ho detto di si adesso la flash è vuota..
Fortunatamente ho un altro router uguale su un altra sede e via tftp server ho copiato il file immagine...
La mia domanda è... gli altri file presenti nella flash, consultando il sito cisco ho visto che si riferiscono alla possibilità di configurare il router via web... devo copiare pure quelli o posso farne a meno omettendo la possibilità web... per la precisione nel router che non ho toccato e meno male che non l'ho toccato ci sono altri 5 file:
sdmconfig-83x.cfg
sdm.shtml.hide
sdm.tar
home.html.hide
home.tar
Ciao grazie mille ancora...
Sta volta l'ho fatta grossa...
facendo copy qua copy la a un certo punto mi ha chiesto erase la flash io gli ho detto di si adesso la flash è vuota..
Fortunatamente ho un altro router uguale su un altra sede e via tftp server ho copiato il file immagine...
La mia domanda è... gli altri file presenti nella flash, consultando il sito cisco ho visto che si riferiscono alla possibilità di configurare il router via web... devo copiare pure quelli o posso farne a meno omettendo la possibilità web... per la precisione nel router che non ho toccato e meno male che non l'ho toccato ci sono altri 5 file:
sdmconfig-83x.cfg
sdm.shtml.hide
sdm.tar
home.html.hide
home.tar
Ciao grazie mille ancora...
-
- n00b
- Messaggi: 8
- Iscritto il: lun 14 mar , 2005 10:30 am
Ciao..
Aggiungo un altro pezzo alla mia richiesta di prima...
intanto ho guardato un po cisco.com e per quello che ho capito la parte di sdm non mi serve per quell poco che devo fare basta la console...
Comunque... Ritorno al mio primo problema volevo abilitare la porta 502 solo alla mia network ho inserito un acl come da gentile consiglio di the irish un bel write ma la porta 502 non mi risponde... mi dico..beota sicuramente hai sbagliato qualcosa... torno alla configurazione originale cancellando la nuova acl da me inserita ma la 502 non mi risponde...
il problemma grosso è che la porta 502 non la vedo più facendo un port scan mi segnala aperto 21 25 110 ma la 502 no...
eppure la conf che gira è quella che è sempre funzionata cioè 502 visibile a tutto il mondo internet....
Allego la conf.txt per chi anima buona avesse tempo di dargli un occhio...
Aggiungo un altro pezzo alla mia richiesta di prima...
intanto ho guardato un po cisco.com e per quello che ho capito la parte di sdm non mi serve per quell poco che devo fare basta la console...
Comunque... Ritorno al mio primo problema volevo abilitare la porta 502 solo alla mia network ho inserito un acl come da gentile consiglio di the irish un bel write ma la porta 502 non mi risponde... mi dico..beota sicuramente hai sbagliato qualcosa... torno alla configurazione originale cancellando la nuova acl da me inserita ma la 502 non mi risponde...
il problemma grosso è che la porta 502 non la vedo più facendo un port scan mi segnala aperto 21 25 110 ma la 502 no...
eppure la conf che gira è quella che è sempre funzionata cioè 502 visibile a tutto il mondo internet....
Allego la conf.txt per chi anima buona avesse tempo di dargli un occhio...
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
- TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Scusami, ma ci sono un paio di domande che devo farti.
1. quanti indirizzi pubblici hai? mi sembra di arguire uno solo ma voglio esserne certo.
2. come hai testato (con precisione) se la porta è aperta?
1. quanti indirizzi pubblici hai? mi sembra di arguire uno solo ma voglio esserne certo.
2. come hai testato (con precisione) se la porta è aperta?
-
- n00b
- Messaggi: 8
- Iscritto il: lun 14 mar , 2005 10:30 am
Si uno solo..
Testato con superscan 4.0, ho fatto uno scan tcp della porta con flag connect..
La cosa che mi lascia perplesso un sacco è che funzionava tutto ho caricato l'acl non andava più ho tolto l'acl non andava comunque, ho caricato via tftp il file startup.cfg che avevo scaricato prima di fare le modifiche reload e non va lo stesso... mah
Aiutami tu... che probabilmente sei armato di atomica pazienza...
Testato con superscan 4.0, ho fatto uno scan tcp della porta con flag connect..
La cosa che mi lascia perplesso un sacco è che funzionava tutto ho caricato l'acl non andava più ho tolto l'acl non andava comunque, ho caricato via tftp il file startup.cfg che avevo scaricato prima di fare le modifiche reload e non va lo stesso... mah
Aiutami tu... che probabilmente sei armato di atomica pazienza...
-
- n00b
- Messaggi: 8
- Iscritto il: lun 14 mar , 2005 10:30 am
Rettifico tutto...
mea culpa...
Era inchiodato lo strumento che rispondeva alla porta 502... reset è ripartito tutto...
Ho sbagliato grosso perchè pensavo che il portscan mi vedesse le porte aperte sul router... niente ora provo a implementare le acl
Ciao..
mea culpa...
Era inchiodato lo strumento che rispondeva alla porta 502... reset è ripartito tutto...
Ho sbagliato grosso perchè pensavo che il portscan mi vedesse le porte aperte sul router... niente ora provo a implementare le acl
Ciao..