Qualcuno potrebbe mandarmi la configurazione del firewall di default del 837? Quello che viene impostato dal CRWS.
Mi servirebbero le acl, la applicazione delle acl alle interfacce e gli inspect.
Grazie!
Matteo
Firewall su 837
Moderatore: Federico.Lagni
- TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
... non hai notato la sottile ironia di Andrea nei confronti del tuo effetto bancomat?
Cmq sia, non esistono "impostazioni di default", non sappiamo nemmeno qual è il tuo provider!
Io, se fossi in te, prima che ti sbranino, ti consiglierei di fare qualche ricerca all'interno del forum
Cmq sia, non esistono "impostazioni di default", non sappiamo nemmeno qual è il tuo provider!
Io, se fossi in te, prima che ti sbranino, ti consiglierei di fare qualche ricerca all'interno del forum
- MaiO
- Messianic Network master
- Messaggi: 1083
- Iscritto il: sab 15 ott , 2005 10:55 am
- Località: Milano
- Contatta:
![Laughing :lol:](./images/smilies/icon_lol.gif)
![Laughing :lol:](./images/smilies/icon_lol.gif)
-=] MaiO [=-
-
- Cisco fan
- Messaggi: 30
- Iscritto il: ven 15 apr , 2005 12:41 pm
Ho notato, ma non ho dato corda...
Come saprete, il 837 ha un servizio di configurazione guidata tramite il tool web CRWS. Se si sceglie di attivare il firewall, il tool configura in forma standard un firewall (ipinspect, acl 111 e 122, applicazione alle interfacce), a prescindere dal ISP utilizzato. Trovandomi in urgenza, mi servirebbe una replica di questa impostazione standard, basta fare C&P da un router appena uscito dall'imballo. In realtà mi servono più che altro le acl e la applicazione alla interfaccia atm0.1 (o dialer) per avere una base di lavoro pronta.
Grazie
Come saprete, il 837 ha un servizio di configurazione guidata tramite il tool web CRWS. Se si sceglie di attivare il firewall, il tool configura in forma standard un firewall (ipinspect, acl 111 e 122, applicazione alle interfacce), a prescindere dal ISP utilizzato. Trovandomi in urgenza, mi servirebbe una replica di questa impostazione standard, basta fare C&P da un router appena uscito dall'imballo. In realtà mi servono più che altro le acl e la applicazione alla interfaccia atm0.1 (o dialer) per avere una base di lavoro pronta.
Grazie
-
- Cisco fan
- Messaggi: 62
- Iscritto il: gio 11 mag , 2006 1:47 pm
- Località: Forlì
Scusa se mi permetto.
Ma se chiedi che uno ti faccia un copia e incolla di un router appena uscito dall'imballo probabilmente ti postano un dhcp su una rete privata e un ip una interfaccia eth0 che non ti serve a nulla.
Comunque per attivare il firewall su di un router di "default" devi applicare l'inpect in uscita nell'intefaccia + esterna e l'acl sulla stessa interfaccia in ingesso, oppure puoi applicare tutto sull'interfaccia interfaccia interna secondo la stessa logica ( non gli stessi comandi) .
Ciao
Se magari le prossime volte posti la tua config possiamo darti qualche consiglio,ma chiedere che ti venga fatta la configurazione mi sembra un pò esagerato visto che scriviamo nel forum a "TEMPO PERSO", e non siamo un servizio di HELP DESK
Ma se chiedi che uno ti faccia un copia e incolla di un router appena uscito dall'imballo probabilmente ti postano un dhcp su una rete privata e un ip una interfaccia eth0 che non ti serve a nulla.
Comunque per attivare il firewall su di un router di "default" devi applicare l'inpect in uscita nell'intefaccia + esterna e l'acl sulla stessa interfaccia in ingesso, oppure puoi applicare tutto sull'interfaccia interfaccia interna secondo la stessa logica ( non gli stessi comandi) .
Ciao
Se magari le prossime volte posti la tua config possiamo darti qualche consiglio,ma chiedere che ti venga fatta la configurazione mi sembra un pò esagerato visto che scriviamo nel forum a "TEMPO PERSO", e non siamo un servizio di HELP DESK
-
- n00b
- Messaggi: 3
- Iscritto il: lun 10 apr , 2006 3:46 pm
Ti consiglio di scaricare dal sito della CISCO l'SDM cosi una volta abilitato il firewall tramite l'SDM creare le regole con la procedura guidata sarà una cavolata. Almeno io ho fatto cosi e al momento funziona. Ricordati sempre di impostare di "leggere i comandi" prima di inviarli al router soprattutto se vuoi fare queste operazioni da remoto e non usando il cavo consolle.
-
- n00b
- Messaggi: 18
- Iscritto il: mer 21 giu , 2006 12:16 am
Avevo la configurazione originale...
pero' non la ritrovo, cmq credo che questo sia molto simile a cio' che cerchi
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
dialer-list 1 protocol ip permit
pero' non la ritrovo, cmq credo che questo sia molto simile a cio' che cerchi
access-list 23 permit 10.10.10.0 0.0.0.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 any
access-list 111 permit icmp any any administratively-prohibited
access-list 111 permit icmp any any echo
access-list 111 permit icmp any any echo-reply
access-list 111 permit icmp any any packet-too-big
access-list 111 permit icmp any any time-exceeded
access-list 111 permit icmp any any traceroute
access-list 111 permit icmp any any unreachable
access-list 111 permit udp any eq bootps any eq bootpc
access-list 111 permit udp any eq bootps any eq bootps
access-list 111 permit udp any eq domain any
access-list 111 permit esp any any
access-list 111 permit udp any any eq isakmp
access-list 111 permit udp any any eq 10000
access-list 111 permit tcp any any eq 1723
access-list 111 permit tcp any any eq 139
access-list 111 permit udp any any eq netbios-ns
access-list 111 permit udp any any eq netbios-dgm
access-list 111 permit gre any any
access-list 111 deny ip any any
dialer-list 1 protocol ip permit
- TheIrish
- Site Admin
- Messaggi: 1840
- Iscritto il: dom 14 mar , 2004 11:26 pm
- Località: Udine
- Contatta:
Sì, però senza usare CBAC sei chiuso fuori. Già che ci sei, lupetto, posta anche le impostazioni di ip inspect altrimenti la cosa è incompleta.
-
- n00b
- Messaggi: 18
- Iscritto il: mer 21 giu , 2006 12:16 am
@ softmed: suppongo di si
@
pare facile
mi ero salvato quel pezzo non so manco perche'!
Suppongo fosse delle prime volte che affrontavo le problematice di un cisco, quando cercavo di capire che cappero significassero quelle righe di comando.
Purtroppo ho solo quello!
@
![Smile :)](./images/smilies/icon_smile.gif)
mi ero salvato quel pezzo non so manco perche'!
Suppongo fosse delle prime volte che affrontavo le problematice di un cisco, quando cercavo di capire che cappero significassero quelle righe di comando.
Purtroppo ho solo quello!