Non ho mangiato,sto qui dalle 9:00 ho dovuto riconfigurare tutta la rete (firewall ,DC,DNS,DHCP......) e mi ero scordato di rifare le ACL su un 837 che connette delle agenzie esterne...sul momento mi è venuta così...può andare (in termini di sicurezza) o posso fare meglio?
PS il router è un 837 con IOS FW 3DES
....scusate ma datemi una mano che non ci vedo più dalla fame.......
interface Dialer0
ip address negotiated
ip access-group 150 in
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
.......................
!
no ip forward-protocol udp tftp
no ip forward-protocol udp nameserver
no ip forward-protocol udp time
no ip forward-protocol udp netbios-ns
no ip forward-protocol udp netbios-dgm
no ip forward-protocol udp tacacs
ip route 0.0.0.0 0.0.0.0 Dialer0
no ip http server
ip http access-class 23
no ip http secure-server
!
ip nat inside source list 100 interface Dialer0 overload
ip nat inside source static tcp 10.10.10.100 2002 interface Dialer0 2002
ip nat inside source static tcp 10.10.10.100 2975 interface Dialer0 2975
ip nat inside source static tcp 10.10.10.100 2974 interface Dialer0 2974
ip nat inside source static tcp 10.10.10.100 1975 interface Dialer0 1975
ip nat inside source static tcp 10.10.10.100 1974 interface Dialer0 1974
ip nat inside source static tcp 10.10.10.100 1434 interface Dialer0 1434
ip nat inside source static tcp 10.10.10.100 1433 interface Dialer0 1433
ip nat inside source static tcp 10.10.10.100 3389 interface Dialer0 3389
!
access-list 23 remark ***ACL accesso Router
access-list 23 permit xx.xx.xx.xx
access-list 23 permit 192.168.0.0 0.0.0.255
access-list 23 permit 192.168.1.0 0.0.0.255
access-list 23 permit 192.168.2.0 0.0.0.255
access-list 23 permit 192.168.3.0 0.0.0.255
access-list 23 permit 192.168.4.0 0.0.0.255
access-list 23 permit 10.0.0.0 0.255.255.255
access-list 23 permit 192.9.200.0 0.0.0.255
access-list 23 deny any log
access-list 100 permit ip 10.0.0.0 0.255.255.255 any
access-list 150 remark ***ACL IN***
access-list 150 permit tcp any any established
access-list 150 permit tcp host xx.xx.xx.xx any eq 3389
access-list 150 permit tcp host yy.yy.yy.yy any eq 3389
access-list 150 permit tcp host zz.zz.zz.zz any eq 3389
access-list 150 permit tcp host kk.kk.kk.kk any eq 3389
access-list 150 permit tcp host xx.xx.xx.xx any eq 1433
access-list 150 permit tcp host yy.yy.yy.yy any eq 1433
access-list 150 permit tcp host kk.kk.kk.kk any eq 1433
access-list 150 deny ip any any
dialer-list 1 protocol ip permit
Quanto sto sicuro co sta ACL??!!!
Moderatore: Federico.Lagni
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
In generale come metodo va bene però ti consiglio di configurare la parte firewall (ip inspect) e quidi di eliminare la prima riga della acl 150 (access-list 150 permit tcp any any established)access-list 150 remark ***ACL IN***
access-list 150 permit tcp any any established
access-list 150 permit tcp host xx.xx.xx.xx any eq 3389
access-list 150 permit tcp host yy.yy.yy.yy any eq 3389
access-list 150 permit tcp host zz.zz.zz.zz any eq 3389
access-list 150 permit tcp host kk.kk.kk.kk any eq 3389
access-list 150 permit tcp host xx.xx.xx.xx any eq 1433
access-list 150 permit tcp host yy.yy.yy.yy any eq 1433
access-list 150 permit tcp host kk.kk.kk.kk any eq 1433
access-list 150 deny ip any any
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- zot
- Messianic Network master
- Messaggi: 1274
- Iscritto il: mer 17 nov , 2004 1:13 am
- Località: Teramo
- Contatta:
Si verò anche perchè se no è un macello......grazie....mo ,una volta per tutte me lo studio.....