Pagina 1 di 2
Cisco 837 e CRWS+SDM
Inviato: gio 24 mar , 2005 7:02 pm
da aries58net
Salve sono appena arrivato!
Ho appena acquistato un cisco 837 (12.3XE)..e siccome non avevo tempo l'ho configurato tramite CRWS (il tanto bistrattato) e va alla grande.
Quale e' il problema direte voi..E' che sono curioso!
ecco il runn conf:
Vorrei capire come riesco a andare sul web senza un'istruzione del tipo access list 111 permit tcp any any eq www!
e anche come posso scaricare posta ( e spedirla ) , collegarmi tramite ftp etc. non lo capisco dalle access list del listato qui sotto !
(ho provato con look@lan e tutte le porte sembrano chiuse eccetto l'80)
( tra l'altro non capisco neanche cosa facciano esattamente le inspect rules)... scusate ma sono alle prime armi con l'IOS e vorrei semplicemente capire...se poi qualcuno ha una configurazione ...migliore e piu' snella e' il benvenuto!
(':lol:')
(Ho scaricato l'SDM 2.1 e installato solo sul pc ...che ne pensate ?)
P.S.
L'abbonamento che ho e' libero flat (ho 5 PC in rete.).e mi sembra che supporti sia PPoE che PPPoA ...: Dubbio amletico ; so che PPPoA e' uno standard , ma che PPPoE e' piu' sicuro : dubbio amletico!!!(':?:')
RUNNING CONFIG
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool CLIENT
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
dns-server A.B.C.D A.B.C.D
lease 0 2
!
!
ip name-server A.B.C.D
ip name-server A.B.C.D
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip audit notify log
ip audit po max-events 100
ip ssh break-string
no ftp-server write-enable
no scripting tcl init
no scripting tcl encdir
!
!
!
no crypto isakmp enable
!
!
!
!
interface Ethernet0
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
hold-queue 100 out
!
interface ATM0
no ip address
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip mtu 1492
ip nat outside
ip inspect myfw out
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer remote-name redback
dialer-group 1
ppp authentication pap chap callin
ppp chap hostname XXXXXXXXXXXXXXXX
ppp chap password YYYYYYYYYYYYYYYY
ppp pap sent-username XXXXXXXXXXXXXXXX password YYYYYYYYYYYYYYYY
!
ip nat inside source list 102 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server
no ip http secure-server
!
!
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
exec-timeout 120 0
no modem enable
transport preferred all
transport output all
stopbits 1
line aux 0
transport preferred all
transport output all
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
!
end
Inviato: ven 25 mar , 2005 2:28 pm
da TheIrish
La questione è un po' più complessa di come la fai. Ci sono almeno dieci anni di evoluzione sul networking che hanno cambiato il concetto di firewalling.
Uno di questi è la stateful inspection che (nel caso specifico) ci permette di far entrare nella LAN solo i dati che abbiamo richiesto. E' applicabile esclusivamente a TCP perché utilizza i sequence numbers del protocollo.
Un esempio di firewall basilare da assegnare ad un'ipotetico dialer:
Codice: Seleziona tutto
access-list 105 permit tcp any any estalbished
access-list 105 permit udp host <ip_dns> eq domain any
Semplice, efficace. La prima istruzione dice:
permetti ogni pacchetto tcp che sia stato richiesto dalla LAN.
Quindi, http, ftp, smtp e pop (e-mail) e una gran quantità di protocolli.
La seconda invece permette la risoluzione dei nomi.
Ovvio che questa ACL è solo l'inizio, ci sono mille e + accortezze per situazioni + complicate!
Le ip inspect, invece, si occupano di:
1. tutti i protocolli che a livello di trasporto si comportano in modo
originale
2. parametrizzare il comportamento di molti protocolli secondo policy personali (vedi: timeout, numero di connessioni contemporanee ecc.)
Inviato: ven 25 mar , 2005 3:42 pm
da aries58net
La mia non è una situazione particolarmente complicata: ho 4/5 client in rete che devono, pur con le dovute protezioni, accedere a internet senza particolari restrizioni...a questa stregua mi sembra che queste 2 righe:
Codice: Seleziona tutto
access-list 105 permit tcp any any estalbished
access-list 105 permit udp host <ip_dns> eq domain any
siano piu' che sufficenti per il mio scopo. Daltronde viene sempre suggerito di usare parsimonia con le access list. che ne pensi ?
Per quel che riguarda le inspect rule ...sarebbe meglio lasciarle cosi' come sono ?
Non potresti, gentilmente, postare la configurazione che secondo te e' piu' indicata ??
TIA
P.S.
(Ho appena ordinato "Cisco IOS in a nutshell" spero di capirci un po' di piu' )
Inviato: ven 25 mar , 2005 6:00 pm
da TheIrish
Drei che, con la modifica sull'ACL che ti ho suggerito e gli inspect da te già impostati, sei già in una bella botte di ferro!
Chiaro che per poter utilizzare software client/server promiscui come i vari eDonkey, eMule ecc. bisogna apportare delle opportune modifiche.
Volendo essere precisini, si possono aggiustare i temporizzatori di timeout, ma vista la dimensione della rete, lo considererei un lavoro inutile.
Conclusione: secondo me va + che bene così
Inviato: ven 25 mar , 2005 7:04 pm
da aries58net
Ecco la config modificata secondo suggerimenti ( e con qualche domandina)
Codice: Seleziona tutto
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool CLIENT
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
dns-server A.B.C.D A.B.C.D
lease 0 2
!
!
ip name-server A.B.C.D ! perche sono tutte outbond queste inspect ????
ip name-server A.B.C.D
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip audit notify log
ip audit po max-events 100
ip ssh break-string
no ftp-server write-enable
no scripting tcl init
no scripting tcl encdir
!
!
!
no crypto isakmp enable
!
!
!
!
interface Ethernet0
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
hold-queue 100 out
!
interface ATM0
no ip address
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip mtu 1492
ip nat outside
ip inspect myfw out
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer remote-name redback
dialer-group 1
ppp authentication pap chap callin
ppp chap hostname XXXXXXXXXXXXXXXX
ppp chap password YYYYYYYYYYYYYYYY
ppp pap sent-username XXXXXXXXXXXXXXXX password YYYYYYYYYYYYYYYY
!
ip nat inside source list 102 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
ip http server !> posso toglierlo nel momento in cui decido di fare a meno di CRWS e SDM giusto ?
no ip http secure-server
!
!
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any !> e' necessario che sia estesa ??
access-list 111 permit tcp any any eq 6115 |
access-list 111 permit udp any any eq 6114 |> per e-mule va bene ???
access-list 111 permit tcp any any eq 6112 |
access-list 111 permit tcp any any established
access-list 111 permit udp host <ip_dns_primario> eq domain any
access-list 111 permit udp host <ip_dns_secondario> eq domain any
access-list 111 deny ip any any !> e' proprio necessario ? non dovrebbe essere implicito ?
dialer-list 1 protocol ip permit !> a cosa serve ?
!
control-plane
!
!
line con 0
exec-timeout 120 0
no modem enable
transport preferred all
transport output all
stopbits 1
line aux 0
transport preferred all
transport output all
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
!
end
Inviato: ven 25 mar , 2005 8:24 pm
da MrCisco
Penso che molte persone metterebbero le mani al collo a chi si è inventato la sintassi di ip inspect. In realtà non sono propriamente outbound... le interfacce vanno viste (almeno per ip inspect) come unità atomiche.
Il loro campo di applicazione è il verso di
trapasso (così ha scritto un ccie, che termine brutto!). Visto che sono unità atomice, il verso di trapasso è, nel caso specifico, verso fuori. Visto che il verso di trapasso è dall'atomo interfaccia all'interno, il verso dell'ispezione è out. Non si è capito niente? bene, questo è un precetto.
ip http server
Quando lo leverai, io mi sentirò molto più rilassato
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
sì, è necessaria perché la usi qui:
ip nat inside source list 102 interface Dialer1 overload
Per emule
access-list 111 permit tcp any any eq 6115 |
access-list 111 permit udp any any eq 6114 |> per e-mule va bene ???
access-list 111 permit tcp any any eq 6112
va bene, se configuri il client per usare quelle porte. Ciò nonostante, non basta per far funzionare e-mule. Devi nattarle staticamente quelle due porte!
Poi, SI, il deny any any alla fine dell'acl è implicito.
dialer-list 1 protocol ip permit
E' limitante pensare che un link sia costretto ad usare ip, non credi?
Inviato: ven 25 mar , 2005 8:33 pm
da TheIrish
Riguardo ad ip inspect... buona la teoria filosofica. In pratica (per semplificare), vanno istanziate nel verso in cui la connessione viene iniziata.
Inviato: ven 25 mar , 2005 9:01 pm
da aries58net
Dunque dunque.....IP inspect..preferisco la pratica alla filosofia ...cioè ..per esempio dal momento che sono io a iniziare una connessione verso un server
, diciamo, FTP la relativa inspect rule va instanziata 'out' anche se di fatto agisce sui pacchetti in ingresso ..puo' essere cosi ?
Perche e' tanto dannoso ??
non potrebbe essere solo:
per e-mule mi sembra di dover aggiungere:
Codice: Seleziona tutto
ip nat inside source static tcp 10.10.10.11 6115 interface Ethernet1 6115
ip nat inside source static udp 10.10.10.11 6114 interface Ethernet1 6114
ip nat inside source static tcp 10.10.10.11 6112 interface Ethernet1 6112
dove 10.10.10.11 sarebbe l'IP di un ipotetico server con IP statico ( ci sarebbe da aggiungere un ip DHCP excluded address 10.10.10.11), e per gli altri PC come faccio ?
poi:
Questa se me la spieghi terra terra , non l'ho proprio capita
Inviato: ven 25 mar , 2005 9:10 pm
da TheIrish
ip http server
da eliminare perché è brutto, cattivo, antipatico, spesso disfunzionante ed enormemente limitato
access-list 99 permit 10.10.10.0 0.0.0.255
si, certo, va benissimo, basta che ti ricordi di aggiornare il numero sull'istruzione di nat overloadato.
ip nat inside source static tcp 10.10.10.11 6115 interface Ethernet1 6115
ip nat inside source static udp 10.10.10.11 6114 interface Ethernet1 6114
ip nat inside source static tcp 10.10.10.11 6112 interface Ethernet1 6112
si, perfetto.
e per gli altri PC come faccio ?
Cosa vuoi dire?
Questa se me la spieghi terra terra , non l'ho proprio capita
E' una cosa un po' lunga. Serve a specificare quali protocolli possono essere manipolati dal dialer. Nel tuo caso, sta a significare l'intero dominio di IP.
Un esempio pratico:
Codice: Seleziona tutto
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 protocol ip list 101
L'intero dominio ip tranne igrp.
Inviato: ven 25 mar , 2005 9:18 pm
da aries58net
Voglio dire che , secondo me, nel caso sopracitato posso eseguire e-mule solo nel PC con IP 10.10.10.11 (o no?) ...e se cosi è, come faccio a rendere disponibile e-mule (o qualsiasi altro peer-2-peer) agli altri PC della mia rete locale ?
Inviato: ven 25 mar , 2005 9:25 pm
da Asimov
non credo esista un modo generico. se ne vuoi abilitare un altro, utilizzi un altro terzetto di porte... e così via
Inviato: ven 25 mar , 2005 9:36 pm
da aries58net
OK ! credo di esserci .dopo quest'illuminante discussione con voi (grazie per la disponibilità e gentilezza) ..eccovi la mia conf modificata : che ne dite ?
Codice: Seleziona tutto
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging buffered
!
no aaa new-model
ip subnet-zero
ip dhcp excluded-address 10.10.10.1
ip dhcp excluded-address 10.10.10.11 > il server per e-mule
!
ip dhcp pool CLIENT
network 10.10.10.0 255.255.255.0
default-router 10.10.10.1
dns-server A.B.C.D A.B.C.D
lease 0 2
!
!
ip name-server A.B.C.D
ip name-server A.B.C.D
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip inspect name myfw h323 timeout 3600
ip audit notify log
ip audit po max-events 100
ip ssh break-string
no ftp-server write-enable
no scripting tcl init
no scripting tcl encdir
!
!
ip nat inside source static tcp 10.10.10.11 6115 interface Ethernet1 6115
ip nat inside source static udp 10.10.10.11 6114 interface Ethernet1 6114 > "nattamento" per e-mule per il server 10.10.10.11
ip nat inside source static tcp 10.10.10.11 6112 interface Ethernet1 6112
!
no crypto isakmp enable
!
!
!
!
interface Ethernet0
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
hold-queue 100 out
!
interface ATM0
no ip address
atm vc-per-vp 64
no atm ilmi-keepalive
pvc 8/35
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
!
interface FastEthernet1
no ip address
duplex auto
speed auto
!
interface FastEthernet2
no ip address
duplex auto
speed auto
!
interface FastEthernet3
no ip address
duplex auto
speed auto
!
interface FastEthernet4
no ip address
duplex auto
speed auto
!
interface Dialer1
ip address negotiated
ip access-group 111 in
ip mtu 1492
ip nat outside
ip inspect myfw out
encapsulation ppp
ip tcp adjust-mss 1452
dialer pool 1
dialer remote-name redback
dialer-group 1
ppp authentication pap chap callin
ppp chap hostname XXXXXXXXXXXXXXXX
ppp chap password YYYYYYYYYYYYYYYY
ppp pap sent-username XXXXXXXXXXXXXXXX password YYYYYYYYYYYYYYYY
!
ip nat inside source list 102 interface Dialer1 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1
no ip http server
no ip http secure-server
!
!
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 111 permit tcp any any eq 6115
access-list 111 permit udp any any eq 6114
access-list 111 permit tcp any any eq 6112
access-list 111 permit tcp any any established
access-list 111 permit udp host <ip_dns_primario> eq domain any
access-list 111 permit udp host <ip_dns_secondario> eq domain any
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
exec-timeout 120 0
no modem enable
transport preferred all
transport output all
stopbits 1
line aux 0
transport preferred all
transport output all
line vty 0 4
access-class 23 in
exec-timeout 120 0
login local
length 0
transport preferred all
transport input all
transport output all
!
scheduler max-task-time 5000
!
end
Inviato: sab 26 mar , 2005 11:47 am
da aries58net
mumble....forse sarebbe meglio mettere questa linea di codice:
in cima alla lista ...no?
Inviato: sab 26 mar , 2005 1:58 pm
da aries58net
A proposito ..sarebbe possibile caricare la conf tutta d'un botto con il seguente comando
Codice: Seleziona tutto
#copy tftp://x.x.x.x/conf_modificata nvram:startup-config
dove x.x.x.x e' L'IP del mio server TFTP ?
(Sempre che l'ultima configurazione postata sia corretta!!)
TIA
P.S.
Fatevi vivi ...sono ansioso di provare !!
Inviato: dom 27 mar , 2005 4:37 pm
da TheIrish
Sì, puoi copiare direttamente, anche se non ho mai visto un'istruzione inline così.
un copy tftp startup-config e poi rispondere alle sue domande è il mentodo usato di frequente.
Magari, nella conf che hai postato, raggruppa le istruzioni di nat per leggibilità (c'è una povera overload staccata dal resto).
Ah, se già non l'avessi fatto, dagli:
Codice: Seleziona tutto
vpdn enable
no vpdn logging
!
vpdn-group pppoe
request-dialin
in global config mode