Pagina 1 di 1
837: accesso ad un server sulla lan interna dall'esterno
Inviato: dom 15 ott , 2006 2:18 pm
da !gabri!
Vorrei poter accedere al mio server della mia lan con ip 192.168.0.252 dall'esterno tramite http e ftp.
Ho provato ad aggiungere queste access list:
access-list 101 permit tcp any host 192.168.0.252 eq ftp
access-list 101 permit tcp any gt 1023 host 192.168.0.252 eq www
ma purtroppo non riesco ad accedere.
ecco la mia configurazione (prevede anche l'accesso voip)
Se ci sono cose superflue fatemi sapere.
Codice: Seleziona tutto
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
!
hostname RG-Router
!
boot-start-marker
boot-end-marker
!
enable password 7 ******
!
no aaa new-model
!
resource policy
!
!
!
!
!
ip cef
ip name-server 212.216.112.112
ip name-server 212.216.172.62
ip inspect max-incomplete high 1100
ip inspect one-minute high 1100
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 esmtp
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
ip ddns update method myupdate
HTTP
add http://dynupdate.no-ip.com/dns?username=***&password=***&hostname=***
interval maximum 1 0 0 0
!
!
!
crypto pki trustpoint TP-self-signed-2627134875
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2627134875
revocation-check none
rsakeypair TP-self-signed-2627134875
!
!
crypto pki certificate chain TP-self-signed-2627134875
certificate self-signed 01
*****
quit
username *** password 7 ****
!
!
class-map match-any voice-control
match access-group name voice-control
class-map match-all voice
match ip rtp 16384 16383
!
!
policy-map VOICE
class voice
priority percent 50
class voice-control
bandwidth 60
class class-default
fair-queue
!
!
no crypto isakmp enable
!
!
!
interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no cdp enable
hold-queue 100 out
!
interface Ethernet2
no ip address
shutdown
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
interface Dialer0
bandwidth 1280
ip ddns update hostname *****
ip ddns update myupdate
ip address negotiated
ip access-group 101 in
ip nat outside
ip inspect DEFAULT100 out
ip virtual-reassembly
encapsulation ppp
ip tcp header-compression iphc-format
dialer pool 1
dialer-group 1
no cdp enable
ppp pap sent-username aliceadsl password 7 050A0A0622494F0D0A09
service-policy output VOICE
ip rtp header-compression iphc-format
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.0.0 255.255.0.0 Null0 250
!
ip http server
ip http authentication local
ip http secure-server
!
ip nat inside source list nat interface Dialer0 overload
!
!
ip access-list extended nat
deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
permit ip 192.168.0.0 0.0.255.255 any
ip access-list extended voice-control
permit tcp any any eq 2000
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 permit esp any any
access-list 101 permit ahp any any
access-list 101 permit udp host 193.204.114.105 eq ntp any eq ntp
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 permit tcp any host 192.168.0.252 eq ftp
access-list 101 permit tcp any gt 1023 host 192.168.0.252 eq www
access-list 101 deny ip any any log
access-list 101 permit udp any any eq 5060
no cdp run
!
!
control-plane
!
!
line con 0
no modem enable
transport output all
line aux 0
transport output all
line vty 0 4
login local
transport input all
transport output all
!
scheduler max-task-time 5000
sntp server 193.204.114.105
end
Ringrazio anticipatamente
Inviato: dom 15 ott , 2006 7:38 pm
da TheIrish
Così su due piedi, vedo che l'ACL 101 è stata applicata sul Dialer in direzione IN.
Sarebbe correttissimo, se non avesso il NAT di mezzo. All'ingresso dell'interfaccia WAN, il NAT non è ancora avvenuto e quindi la destinazione è sconosciuta. Ne consegue che prima del NAT, 192.168.0.252... non c'è.
Ergo, quand'è che conosciamo la destinazione reale?
Inviato: lun 16 ott , 2006 12:21 pm
da !gabri!
Ti ringrazio moltissimo per la risposta.
Ho le idee un po' confuse...
Quindi manda una regola sulle nat d'ingresso, giusto?
Dovrei inserire una riga tipo questa?
Codice: Seleziona tutto
ip nat inside source static tcp 192.168.0.252 80 interface Dialer0 80
Se e' corretta, va inserita sulla dialer0?
Inviato: lun 16 ott , 2006 8:44 pm
da !gabri!
Ho inserito:
ip nat inside source static tcp 192.168.0.252 80 interface Dialer0 80
ma nulla, dall'esterno non riesco ad accedere al mio web server
Inviato: lun 16 ott , 2006 10:28 pm
da [Dj][DMX]
No, intendeva dire che le righe
access-list 101 permit tcp any host 192.168.0.252 eq ftp
access-list 101 permit tcp any gt 1023 host 192.168.0.252 eq www
non hanno senso perchè sul dialer in il router non ha ancora idea di chi sia 192.168.0.252!
Devi sostituirle con:
access-list 101 permit tcp any any eq ftp
access-list 101 permit tcp any gt 1023 any eq www
e poi, se vuoi, le devi limitare in seguito con un'altra ACL al solo indirizzo ip del server, da applicare sulla ethernet out.
Inviato: mar 17 ott , 2006 6:59 am
da !gabri!
Chiedo scusa, sono alle prime armi col Cisco.
Ho sostituito le due righe:
access-list 101 permit tcp any any eq ftp
access-list 101 permit tcp any gt 1023 any eq www
Con le 2 ACL di cui sopra gli dico di far passare tutto l'ftp e tutto il www,
ma non ho ancora capito bene dove devo inserire la regola per girare il traffico http e ftp sul 192.168.0.252.
Un'altra domanda:
gt 1023 all'interno della regola del www cosa significa?
Grazie ancora per le risposte
Inviato: mar 17 ott , 2006 8:53 am
da TheIrish
GT vuol dire greater than, più grande di.
Per favore, posta la configurazione com'è adesso, alla luce dei nuovi fatti.
Inviato: mar 17 ott , 2006 7:57 pm
da !gabri!
>GT vuol dire greater than, più grande di.
piu' grande di 1023 inteso come porta?
C'e' qualcosa che non mi e' chiaro, quindi quella regola significa che lascia passare tutte le porte piu' alte di 1023? (se e' cosi' l'http sulla 80 non dovrebbe funzionare)
Ho inserito nella configurazione :
ip nat inside source static tcp 192.168.0.252 21 interface Dialer0 21
ip nat inside source static tcp 192.168.0.252 80 interface Dialer0 80
ed anche:
access-list 101 permit tcp any any eq ftp
access-list 101 permit tcp any gt 1023 any eq www
Ed adesso funziona! (grazie!)
ma dicendogli: permit tcp any any eq ftp ecc.
la configurazione e' sicura?
Adesso ho un'altro problema da quando ho aggiunto i nat e le access-list,
non mi funziona piu' il ddns
Devo aggiungere delle regole per farlo funzionare?
La mia ultima conf:
Codice: Seleziona tutto
Current configuration : 4241 bytes
!
! Last configuration change at 18:43:29 UTC Tue Oct 17 2006 by gabriele
! NVRAM config last updated at 18:46:16 UTC Tue Oct 17 2006 by gabriele
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log uptime
service password-encryption
!
hostname RG-Router
!
boot-start-marker
boot-end-marker
!
enable password 7 ***
!
no aaa new-model
!
resource policy
!
!
!
!
!
ip cef
ip name-server 212.216.112.112
ip name-server 212.216.172.62
ip inspect max-incomplete high 1100
ip inspect one-minute high 1100
ip inspect name DEFAULT100 cuseeme
ip inspect name DEFAULT100 ftp
ip inspect name DEFAULT100 h323
ip inspect name DEFAULT100 netshow
ip inspect name DEFAULT100 rcmd
ip inspect name DEFAULT100 realaudio
ip inspect name DEFAULT100 rtsp
ip inspect name DEFAULT100 sqlnet
ip inspect name DEFAULT100 streamworks
ip inspect name DEFAULT100 tftp
ip inspect name DEFAULT100 tcp
ip inspect name DEFAULT100 udp
ip inspect name DEFAULT100 vdolive
ip inspect name DEFAULT100 icmp
ip inspect name DEFAULT100 esmtp
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
ip ddns update method myupdate
HTTP
add http://dynupdate.no-ip.com/dns?username=****&password=***&hostname=***
interval maximum 1 0 0 0
!
!
!
!
username *** password 7 ***
!
!
class-map match-any voice-control
match access-group name voice-control
class-map match-all voice
match ip rtp 16384 16383
!
!
policy-map VOICE
class voice
priority percent 50
class voice-control
bandwidth 60
class class-default
fair-queue
!
!
no crypto isakmp enable
!
!
!
interface Ethernet0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no cdp enable
hold-queue 100 out
!
interface Ethernet2
no ip address
shutdown
hold-queue 100 out
!
interface ATM0
no ip address
no ip mroute-cache
no atm ilmi-keepalive
dsl operating-mode auto
hold-queue 224 in
pvc 8/35
encapsulation aal5mux ppp dialer
dialer pool-member 1
!
!
interface FastEthernet1
duplex auto
speed auto
!
interface FastEthernet2
duplex auto
speed auto
!
interface FastEthernet3
duplex auto
speed auto
!
interface FastEthernet4
duplex auto
speed auto
!
interface Dialer0
bandwidth 1280
ip ddns update hostname ***
ip ddns update myupdate
ip address negotiated
ip access-group 101 in
ip nat outside
ip inspect DEFAULT100 out
ip virtual-reassembly
encapsulation ppp
ip tcp header-compression iphc-format
dialer pool 1
dialer-group 1
no cdp enable
ppp pap sent-username aliceadsl password 7 050A0A0622494F0D0A09
service-policy output VOICE
ip rtp header-compression iphc-format
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.0.0 255.255.0.0 Null0 250
!
ip http server
ip http authentication local
ip http secure-server
!
ip nat inside source list nat interface Dialer0 overload
ip nat inside source static tcp 192.168.0.252 21 interface Dialer0 21
ip nat inside source static tcp 192.168.0.252 80 interface Dialer0 80
!
!
ip access-list extended nat
deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255
permit ip 192.168.0.0 0.0.255.255 any
ip access-list extended voice-control
permit tcp any any eq 2000
access-list 101 deny ip 10.0.0.0 0.255.255.255 any
access-list 101 deny ip 172.16.0.0 0.15.255.255 any
access-list 101 deny ip 192.168.0.0 0.0.255.255 any
access-list 101 deny ip 127.0.0.0 0.255.255.255 any
access-list 101 deny ip host 255.255.255.255 any
access-list 101 deny ip host 0.0.0.0 any
access-list 101 permit esp any any
access-list 101 permit ahp any any
access-list 101 permit udp host 193.204.114.105 eq ntp any eq ntp
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any unreachable
access-list 101 permit tcp any any eq ftp
access-list 101 permit tcp any gt 1023 any eq www
access-list 101 deny ip any any log
access-list 101 permit udp any any eq 5060
no cdp run
!
!
control-plane
!
!
line con 0
no modem enable
transport output all
line aux 0
transport output all
line vty 0 4
login local
transport input all
transport output all
!
scheduler max-task-time 5000
sntp server 193.204.114.105
end
Inviato: gio 19 ott , 2006 6:59 am
da !gabri!
Sono giorni che ormai sto' impazzendo con questo router
Non ho capito come mai adesso che vedo il mio server dall'esterno non funziona piu' il ddns
C'e' qualche buon anima che riesce a dare un'occhiata alla configurazione di cui sopra?
Ringrazio anticipatamente e a buon rendere su altro forum...
Inviato: gio 19 ott , 2006 7:55 am
da TheIrish
Io ho il sospetto che abbia ben poco a che fare con il router. Prova a controllare il tuo account ddns.
Inviato: gio 19 ott , 2006 7:06 pm
da !gabri!
Ha fatto un po' di debug, ho scoperto che il router non risolve il nome (perche'?)
Allora ho modificato la richiesta a no-ip.com con il suo ip:
http://204.16.252.97/dns?username=***** ... no-ip.info
Ho cosi' constatato che il firewal blocca l'accesso a quel IP:
00:02:19: %SEC-6-IPACCESSLOGP: list 101 denied tcp 204.16.252.97(80) -> 87.8.52.248(34973), 1 packet
00:02:29: %SEC-6-IPACCESSLOGP: list 101 denied tcp 204.16.252.97(80) -> 87.8.52.248(39638), 1 packet
Devo aggiungere una regola alle ACL o modificarne una esistente?
Ringrazio ancora per le risposte.
Inviato: ven 20 ott , 2006 9:16 pm
da !gabri!
Ho fatto una prova,
ho tolto ip inspect DEFAULT100 out
dalla dialer 0
ed il ddns e' ripreso a funzionare!
Quindi mi manca una regola per far uscire (o entrare?) questo ddns con le ACL,
ma non saprei quale regola aggiungere
Qulacuno riesce ad aiutermi?
Inviato: ven 20 ott , 2006 10:53 pm
da [Dj][DMX]
!gabri! ha scritto:Ho fatto una prova,
ho tolto ip inspect DEFAULT100 out
dalla dialer 0
Prova ad applicarlo sulla ethernet in.
!gabri! ha scritto:
access-list 101 deny ip any any log
access-list 101 permit udp any any eq 5060
Le ACL hanno un ordine ben preciso, l'ultima regola che hai messo è come se non ci fosse perchè prima hai negato qualsiasi cosa, invertile di posto.
Inviato: sab 21 ott , 2006 9:30 am
da !gabri!
Grazie [Dj][DMX],
ho applicato le access-list 101 sulla ethernet 0
#ip access-group 101 out
e corretto la regola che mi hai segnalato, ora funziona tutto.
Ma avendo applicato le ACL sulla ethernet 0 e non sulla dialer 0,
la configurazione e' comunque sicura?
Inviato: sab 21 ott , 2006 12:40 pm
da [Dj][DMX]
Non sono le acl che hai "spostato"!
Comunque a mio parere dovresti scrivere un'altra acl da applicare sulla ethernet out che permetta i servizi di cui hai bisogno solo agli host che ne necessitano.