il mio primo router ...

[ruby]

Ciao ragazzi , ho appena attivato la flat adsl e sono in attesa che mi arrivi il mio bel cisco soho97 ...

dopo aver studiato per benino la ccna , sono pronto per metterla in pratica , almeno ci provo .

ho già dato un' occhiata a tutto il forum , ho scaricato diverse config e
vorrei sapere intanto quali sono i comandi da evitare per non cancellare la flash o cmq per non fare danni ...

appena mi arriva il mostro , entro in conf e per pulire , digito RELOAD e poi inizio a smanettare per configurare alice !

accetto consigli ...

[ruby]

ho un dubbio sulle acl , vi prego di chiarirmi le idee , cioè :

io volevo fare 2 acl , una come OUT da assegnare alla eth0 che mi permetteva solo le porte che mi servono ( che possono essere anche diverse tra i PC ) ed una alla ATM0 come IN che mi facesse passare solo il traffico che dico io , che ne dite ?

accetto consigli ...

grazie.

[TheIrish]

mmm... può essere un'idea. La mia filosofia preferita è quella di lavorare di logica inversa.
su atm metterei una acl che mi scarta i dati che SICURAMENTE non voglio e quei servizi che possono intaccare l'integrità del router, vedi ssh, telnet, e far passare tutto il resto. se per esempio nella tua lan non ci sono server, un bel deny any any lt 1024 ci può stare. Mentre sulla ethernet out farei il vero filtraggio, permettendo solo quello che mi interessa.
La tua proposta non è male, ma dal punto di vista prestazionale, analizzare 2 volte la stessa cosa semplicemente per discriminare l'ip di destinazione mi sembra un po' uno spreco.

[ruby]

nei prossimi giorni metterò su una config per il mio router ( che per ora ho solo resettato ... ) , cmq vediamo che ne pensi :

ho due PC , uno ( PC2) mi fà da server ( sai , per fare prove ) e gli abilito il traffico SOLO per determinate porte ad esempio il mulo ; l ' altro ( PC1 ) è il pc di tutti i giorni , che avrà abilitate solo le porte per la posta , messenger e web ...

come imposteresti le acl ?

io pensavo , dato il tuo consiglio :

PC1 : 10.0.0.1 255.255.255.0
PC2 : 10.0.0.2 255.255.255.0

quindi :

access-list 100 permit 10.0.0.0 0.0.0.255 any any --> per il NAT.
access-list 101 permit tcp host 10.0.0.2 any eq 4662
access-list 101 permit udp host 10.0.0.2 any eq 4672

x il mulo del PC2 da assegnare alla eth0 out ; continuando :

access-list 101 permit tcp 10.0.0.0 any eq 80
access-list 101 permit tcp host 10.0.0.1 any eq pop3
access-list 101 permit tcp host 10.0.0.1 any eq smtp
access-list 101 permit tcp host 10.0.0.1 any eq 1863

se non ricordo male la 1863 è la porta di messenger per chattare e trasferire 1 file alla volta ...

poi farei una acl nella atm0 ( o atm0.1 ??? ) per proteggermi ( ad esempio vietare telnet da internet ed altro ...

che ne dici ?

bye

[ruby]

allora , ho buttato giù un config che abbraccia solo il pc1 e internet funziona , ma vorrei migliorarla , soprattutto nel discorso access-list !

non ho trovato il comando access group , come faccio a fare una acl estesa e assegnarla ad un interfaccia ?

di seguito trovate la mia config , accetto consigli !

Building configuration...

Current configuration : 1127 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Router
!
logging queue-limit 100
no logging console
enable secret 5 $1$tBkQ$eTGCMWC5ZSpuINH8Gz6I8/
!
ip subnet-zero
ip name-server 212.216.112.112
!
!
! ( perchè tutti questi punti esclamativi ? )
!
!
!
!
!
!
interface Ethernet0
ip address 10.0.0.10 255.255.255.0
ip nat inside
ip tcp adjust-mss 1452
hold-queue 100 out
!
interface ATM0
no ip address
no atm ilmi-keepalive
pvc 8/35
pppoe-client dial-pool-number 1
!
dsl operating-mode auto
!
interface Dialer0
mtu 1492
ip address negotiated
ip nat outside
encapsulation ppp
dialer pool 1
ppp chap hostname xxxxxxxxxxx
ppp chap password x xxxxxxxxxxxxxx
ppp pap sent-username xxxxxxxx password x xxxxxxxxx
!
ip nat inside source list 1 interface Dialer0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer0
ip http server
no ip http secure-server
!
access-list 1 permit 10.0.0.0 0.0.0.255
dialer-list 1 protocol ip permit
!
line con 0
no modem enable
stopbits 1
line aux 0
stopbits 1
line vty 0 4
password xxxxxxxxxxxxxxxxxxxx
login
!
scheduler max-task-time 5000
!
end

[TheIrish]

scusa se ti guardo solo le acl ma sono un po' di fretta.
Purtroppo le ACL mi sembrano DECISAMENTE sbagliate.
in questa riga, per esempio:

Codice: Seleziona tutto

access-list 101 permit tcp host 10.0.0.2 any eq 4662

dici

Codice: Seleziona tutto

permetti traffico tcp PROVENIENTE da 10.0.0.2 verso qualsiasi destinazione con porta 4662

Non penso tu volessi esprimere questo, o sbaglio?
Intanto chiariamo questo, poi parliamo del resto

[ruby]

ciao , ti ringrazio della tua risposta , ma non capisco cosa vuoi dire ?

io vorrei che il 10.0.0.2 utilizzasse il mulo , dove sbaglio ?

poi , mettendo una acl estesa , il router non la elabora e non c' è il comando access group per poter assegnare la acl ad un interfaccia : devo usare dialer-list 100 ( ad esempio ? )

bye

[TheIrish]

i dati entrano, i dati escono. Dove volevi applicare l'acl che ti ho segnalato?

[ruby]

come ti avevo scritto , nel pc2 per utilizzare il mulo ...

[TheIrish]

No no, con calma.
Quando creiamo una acl dobbiamo pensare se quest'ultima andrà a filtrare dei dati che entrano (in) o escono (out) da un'interfaccia.

Nel caso specifico, parlavamo di ethernet0, giusto?
Ora, se non manco il significato della tua richiesta, tu vorresti che il PC2 in questione riceva SOLO i dati di e-mule e non riceva altro, giusto?
Visto che stiamo parlando di PC2 che riceve da ethernet0, il verso dell'ispezione è out, ovvero i dati che ESCONO dalla ethernet verso il PC2.
se fin qui ci ho azzeccato, allora la tua ACL è scritta al contrario, perché fa passare i dati che provengono da 10.0.0.2, anziché quelli che vanno verso 10.0.0.2. Questa ACL liscia sempre perché dal router non dovrebbero arrivare dati con sorgente 10.0.0.2

[ruby]

per essere chiari : se ti hi dato un impressione di essere stato troppo "non calmo !" ti chiedo scusa , ma non era assolutamente mia intenzione ;

passando al discordo acl , mi dispiace ma non ho capito ; ricapitolando , nella mia situazione :

PC1 , deve utilizzare web , posta e messenger ...
PC2 , mulo e web ...

come scriveresti le acl ?

e per il verso , non capisco perchè mi dici che "il verso dell'ispezione è out" ...

immaginando di essere dentro il router , se mi arrivano pacchetti che NON voglio far uscire , li blocco ancor prima di passare la eth0 , perchè dopo ?

e dall ' esterno tramite NAT statico faccio passare solo le porte del mulo ...

bye

[TheIrish]

"Con calma" è un mio modo di dire
Avevo capito male le tue intenzioni, anche se devo fare due annotazioni su un paio di cose:

immaginando di essere dentro il router , se mi arrivano pacchetti che NON voglio far uscire

Ok, è giusto immaginare di essere dentro. Una nota: sappi che è pressoché impossibile pensare di bloccare e-mule agendo sui pacchetti. Servono sistemi più complessi. L'eDonkey network è più complesso di quanto si creda. E anche se si potesse, client e server dell'eDonkey network possono selezionare le loro porte in completa autonomia. Non sono obbligati ad usare la 4662. Nonché, senza NAT statico, eMule funziona, male ma funziona.

Io suggerivo di bloccare i pacchetti che entrano nella LAN (e quindi escono da ethernet0).
Questo per un semplice motivo:
come hai ben esposto, puoi pensare di bloccare i pacchetti che escono per limitare i servizi ai quali i client possono accedere. E' una buona idea per risparmiare risorse perché blocchi la questione prima ancora che nasca. MA... ma allora non puoi permetterti di non fare alcun esame sui pacchetti che entrano.
Partendo dal principio che il NAT non è un sistema di sicurezza ed è bypassabile, prova ad immaginare che non ci sia: chiunque nella rete può inviarti pacchetti su qualsiasi porta, per qualsiasi destinazione verso qualsiasi servizio. mmm... questo no buono.

Allora la mia proposta (che avevo formulato prima di aver compreso le tue intenzioni) era quella di agire completamente sui dati che escono da ethernet0, limitando tutto a quello.
Certo, la soluzione combinata sarebbe quella logicamente più corretta.

Alla luce di questo, fammi sapere cosa ne pensi e poi possiamo riparlarne.

[ruby]

ciao , ho letto per bene la tua risposta e sono daccordo sul "Bloccare" i dati che entrano , ma a questo punto , non sarebbe meglio agire ancora prima , cioè sulla atm0 o sull ' interfaccia dialer0 ( col verso in ingresso ) ?

se ci sono dati che non voglio far passare , meglio che non entrano proprio , che ne pensi ?

poi , alla luce di quanto detto , mi aiuteresti a modificare la mia config iniziale ?

non ho ben capito la sintassi per ASSEGNARE l ' acl all ' interfaccia ...

bye

[TheIrish]

ciao , ho letto per bene la tua risposta e sono daccordo sul "Bloccare" i dati che entrano , ma a questo punto , non sarebbe meglio agire ancora prima , cioè sulla atm0 o sull ' interfaccia dialer0 ( col verso in ingresso ) ?

sì, ma tieni a mente che sull'atm0.1, a causa del nat, non vedi le destinazioni reali. Non c'è problema se i dati in entrata possono andare dove vogliono, dipende da te.
Poi mi sorge un dubbio, c'è un motivo per cui vuoi selezionare i servizi in uscita dalla LAN? Francamente, ammeno che non sia una rete aziendale, non ne vedo il motivo...
E cmq, per quanto riguarda il mulo, visto che le porte di destinazione possono variare, probabilmente l'acl che lo limita alla porta 4662 ridurrebbe profondamente la funzionalità...
Ok, chiariscimi quel punto di cui sopra e prendiamo una decisione sul mulo, poi ti propongo la mia soluzione

[ruby]

ciao , non è una rete aziendale , ma considera che ho acquistato un router cisco proprio per "smanettare" , altrimenti , avrei preso qualcosa di più economico ...

quindi , se metto una acl che permette tutto , non mi soddisfa più di tanto ...

poi pensavo di mettere IN FUTURO il pc2 come server e fare altre prove ( sai , dns , wins , dchp ) e magari aprire porte come vnc ( per vederlo dal mio pc dell ' ufficio ) ed altro , ad esempio dyndns ...

ti ripeto , ho acquistato il tutto per smanettare ed imparare sempre di più ; mi piace molto questo ramo dell ' informatica ..

magari , metterò un proxy , per evitare che mio fratello , possa andare in siti "particolari" ( e quindi , permettere SOLO al proxy di uscire ... )

come vedi , gli scenari sono tanti e le prove che farò saranno altrettante , ma prima devo capire ben come muovermi nel mondo dei router , sei daccordo ?

tutto quì !

bye