CiscoForums.it

Cisco Users Group
https://www.ciscoforums.it/

IoS nuovo problemi con ACL

https://www.ciscoforums.it/viewtopic.php?f=10&t=8404

Pagina 1 di 2

IoS nuovo problemi con ACL

Inviato: mar 12 feb , 2008 11:51 pm
da proton
Sto spesso su Irc e sto cercando una configurazione +ttosto solida gh
In questo modo non esce e non capisco il perchè è online solo quando applico "no access-list 131" naviga solo senza Acl :\ help me plz



Codice: Seleziona tutto

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Router
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5 $1$7eLG$1UqkJXFMJFgcqw9YazUMV0
!
no aaa new-model
!
crypto pki trustpoint TP-self-signed-3148253242
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-3148253242
 revocation-check none
 rsakeypair TP-self-signed-3148253242
!
!
crypto pki certificate chain TP-self-signed-3148253242
 certificate self-signed 01
  3082023E 308201A7 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 33313438 32353332 3432301E 170D3038 30323032 30363236
  32325A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D33 31343832
  35333234 3230819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100A820 97781145 DB876612 41F90E8D 5A7B4E21 64379846 F8933CE4 3FD24AC7
  5E16F588 24DC92F5 644A4809 19D00B5B C8F92FB0 09385CA0 CC4B98E7 BE35F459
  2B4CCA90 7C6EB88C F60D4CB8 7C45A3C4 EEC9D1BB 5AFD1EB8 0A80BD87 E10307EC
  40BFE09A 32ED4456 1151EF76 369C17D8 E6FC9C7D 3A6FE022 CC324C5B 5F858B83
  D0B10203 010001A3 66306430 0F060355 1D130101 FF040530 030101FF 30110603
  551D1104 0A300882 06526F75 74657230 1F060355 1D230418 30168014 162A8001
  6487346F 3D01A8BC 74012B57 DCF19872 301D0603 551D0E04 16041416 2A800164
  87346F3D 01A8BC74 012B57DC F1987230 0D06092A 864886F7 0D010104 05000381
  81006375 93302374 FEB555BF 141AECE1 70DAF862 05D24527 9FBBFAF4 3CD19CFE
  A5A53EF6 AF8E6547 F59467C8 124F746A EDED1AFD A0C77AB4 62C4C3F4 1C259327
  7FF0A1F3 F059AF4C FA0E3FDC A48809B5 47FAA36D 209A7F16 CB81B9B0 7CC667A6
  074A6118 C1F8267B E0B57467 C1BD1753 646FC31C 69755800 AA973FF7 AB760DBA 8FE0
        quit
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.2.1
!
ip dhcp pool Lan
   network 192.168.2.0 255.255.255.0
   dns-server 212.216.112.112 212.216.172.62
   default-router 192.168.2.1
!
!
ip cef
ip inspect name MYFW tcp
ip inspect name MYFW udp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
no ip domain lookup
ip name-server 212.216.112.112
ip name-server 212.216.172.62
!
!
!
username admin privilege 15 secret 5 $1$j3dp$cohb2tWIYE9ZG.vaUpJ/S.
!
!
archive
 log config
  hidekeys
!
!
!
!
!
interface ATM0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 no ip route-cache cef
 no ip route-cache
 no atm ilmi-keepalive
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Dot11Radio0
 no ip address
 shutdown
 speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
 station-role root
!
interface Vlan1
 ip address 192.168.2.1 255.255.255.0
 ip access-group 120 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 no ip route-cache cef
 no ip route-cache
 ip tcp adjust-mss 1452
 no ip mroute-cache
!
interface Dialer0
 ip address negotiated
 ip access-group 131 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip inspect MYFW out
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 no ip route-cache cef
 no ip route-cache
 no ip mroute-cache
 dialer pool 1
 no cdp enable
 ppp pap sent-username [email protected] password 7 xxxxxxxxxxxxxxxxxxx
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 23 interface Dialer0 overload
!
access-list 23 permit 192.168.2.2
access-list 120 permit ip any any
access-list 131 remark *** ACL ANTI-SPOOFING ***
access-list 131 deny   ip host 0.0.0.0 any log
access-list 131 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 131 deny   ip 192.0.2.0 0.0.0.255 any log
access-list 131 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 131 remark *** ACL PER CONTROLLARE TRAFFICO ICMP ***
access-list 131 permit icmp any any echo
access-list 131 permit icmp any any echo-reply
access-list 131 permit icmp any any time-exceeded
access-list 131 permit icmp any any unreachable
access-list 131 permit icmp any any administratively-prohibited
access-list 131 permit icmp any any packet-too-big
access-list 131 permit icmp any any traceroute
access-list 131 deny   icmp any any
access-list 131 remark *** ACL PER BLOCCARE L'ACCESSO A VIRUS E ATTACCHI ***
access-list 131 deny   tcp any any eq 135
access-list 131 deny   udp any any eq 135
access-list 131 deny   udp any any eq netbios-ns
access-list 131 deny   udp any any eq netbios-dgm
access-list 131 deny   tcp any any eq 139
access-list 131 deny   udp any any eq netbios-ss
access-list 131 deny   tcp any any eq 445
access-list 131 deny   tcp any any eq 593
access-list 131 deny   tcp any any eq 2049
access-list 131 deny   udp any any eq 2049
access-list 131 deny   tcp any any eq 2000
access-list 131 deny   tcp any any range 6000 6010
access-list 131 deny   udp any any eq 1433
access-list 131 deny   udp any any eq 1434
access-list 131 deny   udp any any eq 5554
access-list 131 deny   udp any any eq 9996
access-list 131 deny   udp any any eq 113
access-list 131 deny   udp any any eq 3067
access-list 131 remark *** ACL PER BLOCCARE ACCESSI NON AUTORIZZATI ***
access-list 131 deny   ip any any log
no cdp run
!
control-plane
!
banner login ^CC
!
line con 0
 login local
 no modem enable
line aux 0
line vty 0 4
 access-class 23 in
 privilege level 15
 login local
 transport input telnet ssh
!
scheduler max-task-time 5000
end

help me!!!

Inviato: mer 13 feb , 2008 3:05 am
da proton
Mi dice questo quando apro SDM: use the cli command undebug all to disable all debug setting on the router - non vorrei che fosse qualke problema di debug perchè non posso usare + l access-list 131 deny ip any any log funziona solo con access-list 131 permit ip any any log :\

Inviato: mer 13 feb , 2008 10:06 am
da active
Beh avendo inserito

Codice: Seleziona tutto

access-list 131 deny   ip any any log
dovresti poter vedere che pacchetti vengono bloccati quando tenti di connetterti ad irc.

Inviato: mer 13 feb , 2008 12:41 pm
da proton
dovresti poter vedere che pacchetti vengono bloccati quando tenti di connetterti ad irc.

Il problema è che appena uso

Codice: Seleziona tutto

access-list 131 deny   ip any any log
rimango offline :(

Inviato: mer 13 feb , 2008 4:21 pm
da proton

Codice: Seleziona tutto

ip access-group 120 in Vlan1
ip access-group 131 in Dialer0
E le inspect in uscita ma appena applico una regola 131 non navigo +

Non capisco cosa non vada in questa configurazione :(

Inviato: mer 13 feb , 2008 5:08 pm
da Wizard

Codice: Seleziona tutto

ip inspect name MYFW http
ip inspect name MYFW https
ip inspect name MYFW dns
ip inspect name MYFW ftp
ip inspect name MYFW icmp
ip inspect name MYFW tcp
ip inspect name MYFW udp

int Dialer0
no ip inspect MYFW out

int Vlan1
ip inspect MYFW in

Inviato: mer 13 feb , 2008 7:31 pm
da proton
Grazie Wizard, tutto ok ora :)

Inviato: gio 14 feb , 2008 12:51 am
da proton
Scusami ancora Wizard però ho paura di non essere molto protetto con questa conf ho costatato che dall'esterno mi saturano la banda con dei banali ping :(

Codice: Seleziona tutto

Risposta da 192.168.100.1: byte=32 durata=491ms TTL=125
Risposta da 192.168.100.1: byte=32 durata=478ms TTL=125
Risposta da 192.168.100.1: byte=32 durata=491ms TTL=125
Risposta da 192.168.100.1: byte=32 durata=504ms TTL=125
Richiesta scaduta.
Risposta da 192.168.100.1: byte=32 durata=538ms TTL=125
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.

Inviato: gio 14 feb , 2008 10:37 am
da Wizard
Anche se mi sa strano fai così:

Codice: Seleziona tutto

no access-list 131
access-list 131 remark *** ACL ANTI-SPOOFING ***
access-list 131 deny   ip host 0.0.0.0 any log
access-list 131 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 131 deny   ip 192.0.2.0 0.0.0.255 any log
access-list 131 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 131 remark *** ACL PER CONTROLLARE TRAFFICO ICMP ***
access-list 131 deny   icmp any any
access-list 131 remark *** ACL PER BLOCCARE L'ACCESSO A VIRUS E ATTACCHI ***
access-list 131 deny   tcp any any eq 135
access-list 131 deny   udp any any eq 135
access-list 131 deny   udp any any eq netbios-ns
access-list 131 deny   udp any any eq netbios-dgm
access-list 131 deny   tcp any any eq 139
access-list 131 deny   udp any any eq netbios-ss
access-list 131 deny   tcp any any eq 445
access-list 131 deny   tcp any any eq 593
access-list 131 deny   tcp any any eq 2049
access-list 131 deny   udp any any eq 2049
access-list 131 deny   tcp any any eq 2000
access-list 131 deny   tcp any any range 6000 6010
access-list 131 deny   udp any any eq 1433
access-list 131 deny   udp any any eq 1434
access-list 131 deny   udp any any eq 5554
access-list 131 deny   udp any any eq 9996
access-list 131 deny   udp any any eq 113
access-list 131 deny   udp any any eq 3067
access-list 131 remark *** ACL PER BLOCCARE ACCESSI NON AUTORIZZATI ***
access-list 131 deny   ip any any log

ip inspect name FW-IN icmp
ip inspect name FW-IN tcp
ip inspect name FW-IN udp

int dialer0
ip inspect FW-IN in

Situazione Attuale

Inviato: gio 14 feb , 2008 6:34 pm
da proton
Con le inspect in ingresso sulla dialer icmp, tcp. udp e acl deny icmp ottengo dei pakketi filtrati mentre provo a testarmi con il flood icmp con la shell esterna

Codice: Seleziona tutto

PING mioipremoto  (mioipremoto) 65507(65535) bytes of data.
From mioipremoto icmp_seq=1 Packet filtered
From mioipremoto icmp_seq=12 Packet filtered
From mioipremoto icmp_seq=3007 Packet filtered
From mioipremoto icmp_seq=3223 Packet filtered
ecc..

Ma le inspect sembra che abbiano un ruolo fittizio in questo caso perkè il mio pc riceve dei bei colpi ugualmente....

Codice: Seleziona tutto

Risposta da 192.168.100.1: byte=32 durata=42ms TTL=125
Risposta da 192.168.100.1: byte=32 durata=48ms TTL=125
Risposta da 192.168.100.1: byte=32 durata=40ms TTL=125
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.
Risposta da 192.168.100.1: byte=32 durata=219ms TTL=125
Risposta da 192.168.100.1: byte=32 durata=201ms TTL=125
Richiesta scaduta.
Risposta da 192.168.100.1: byte=32 durata=371ms TTL=125
Richiesta scaduta.
Richiesta scaduta.
Richiesta scaduta.

ICMP FLOOD

Inviato: ven 15 feb , 2008 4:12 pm
da proton
Googlando un po' ho notato che per evitare il ping flood bisogna usare il CAR (Committed Access Rate) come comando per limitare il traffico indesiderato.

Codice: Seleziona tutto

Router(config-subif)# rate-limit input access-group xxx xxxxxxxx xxxx xxxx conform-action trasmit exceed-action drop
Da premettere che il test fatto in precedenza è da un host con ampiezza di banda maggiore.... cmq voglio un po' documentarmi per cercare di soddisfare le mie incertezze :) Grazie ancora Wizard per l'ennesimo ausilio.

Inviato: ven 15 feb , 2008 5:16 pm
da Wizard
Alla fine facci vedere la config definitiva.

Inviato: gio 21 feb , 2008 2:42 pm
da freccetta
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any echo-reply


interface <interface> <interface #>
rate-limit input access-group 102 256000 8000 8000 conform-action transmit
exceed-action drop


Grosso modo questo è quello che ti serve per limitare l'icmp.Ovviamente devi avere il cef abilitato.
regola i parametri in base alle tue preferenze per decidere quanta banda lasciare per il ping.

Meglio applicare il tutto alla tua interfaccia wan.L'ottimo sarebbe inserire questi filtri lato POP/Provider/PE o come lo vuoi chiamare ma non credo che tu ne hai accesso.

Ciau

Inviato: ven 22 feb , 2008 10:29 am
da Wizard
Dubito che sui router degli isp ci siano queste belle regoline...

Inviato: ven 22 feb , 2008 11:08 am
da freccetta
dipende molto dal tipo di contratto che hai e dal router interessato.Per grossi clienti ci sono.come ci sono per proteggere le server farm ed i pop stessi.
Tutti gli orari sono UTC+01:00
Pagina 1 di 2

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it