CiscoForums.it

Inviato: **mar 21 ott , 2008 12:08 am**

secondo voi perchè con questa ACL

access-list 131 remark #############################################
access-list 131 remark ACC-GROUP IN
access-list 131 remark **VPN**
access-list 131 permit gre any any
access-list 131 permit esp any any
access-list 131 permit udp any any eq isakmp
access-list 131 permit udp any any eq non500-isakmp
access-list 131 permit udp any eq isakmp any
access-list 131 permit udp any eq non500-isakmp any
access-list 131 remark **NTP**
access-list 131 permit udp host 193.204.114.232 any eq ntp
access-list 131 permit udp host 193.204.114.233 any eq ntp
access-list 131 remark **DNS**
access-list 131 permit udp host 208.67.222.222 any eq domain
access-list 131 permit udp host 208.67.220.220 any eq domain
access-list 131 permit udp host 151.99.125.1 any eq domain
access-list 131 permit udp host 151.99.250.2 any eq domain
access-list 131 permit udp host 88.149.128.20 any eq domain
access-list 131 permit udp host 212.216.112.112 any eq domain
access-list 131 remark **ANTI-SPOOFING**
access-list 131 deny   ip host 0.0.0.0 any log
access-list 131 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 131 deny   ip 192.0.2.0 0.0.0.255 any log
access-list 131 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny   ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 131 remark **ICMP**
access-list 131 permit icmp any any echo
access-list 131 permit icmp any any echo-reply
access-list 131 permit icmp any any time-exceeded
access-list 131 permit icmp any any unreachable
access-list 131 permit icmp any any administratively-prohibited
access-list 131 permit icmp any any packet-too-big
access-list 131 permit icmp any any traceroute
access-list 131 deny   icmp any any
access-list 131 remark **WORM**
access-list 131 deny   tcp any any eq 135
access-list 131 deny   udp any any eq 135
access-list 131 deny   udp any any eq netbios-ns
access-list 131 deny   udp any any eq netbios-dgm
access-list 131 deny   tcp any any eq 139
access-list 131 deny   udp any any eq netbios-ss
access-list 131 deny   tcp any any eq 445
access-list 131 deny   tcp any any eq 8888
access-list 131 deny   tcp any any eq 8594
access-list 131 deny   tcp any any eq 8563
access-list 131 deny   tcp any any eq 7778
access-list 131 deny   tcp any any eq 593
access-list 131 deny   tcp any any eq 2049
access-list 131 deny   udp any any eq 2049
access-list 131 deny   tcp any any eq 2000
access-list 131 deny   tcp any any range 6000 6010
access-list 131 deny   udp any any eq 1433
access-list 131 deny   udp any any eq 1434
access-list 131 deny   udp any any eq 5554
access-list 131 deny   udp any any eq 9996
access-list 131 deny   udp any any eq 113
access-list 131 deny   udp any any eq 3067
access-list 131 remark **ALL**
access-list 131 deny   ip any any log

e con questo ip inspect

Codice: Seleziona tutto

ip inspect name FW tcp
ip inspect name FW udp
ip inspect name FW icmp

se provo a pingare dal router

Codice: Seleziona tutto

router#ping google.it

Translating "google.it"...domain server (151.99.125.1) (151.99.250.2) (208.67.222.222) (212.216.112.112) (88.149.128.20)
% Unrecognized host or address, or protocol not running.

ottengo questo?

Codice: Seleziona tutto

001318: .Oct 21 00:02:59.203 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 151.99.125.1(53) -> 80.183.224.164(58559), 2 packets
001319: .Oct 21 00:02:59.203 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 151.99.250.2(53) -> 80.183.224.164(53022), 2 packets
001320: .Oct 21 00:03:59.204 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 208.67.222.222(53) -> 80.183.224.164(51500), 2 packets
001324: .Oct 21 00:08:11.898 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 151.99.125.1(53) -> 80.183.224.164(57802), 1 packet
001326: .Oct 21 00:08:20.914 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 151.99.250.2(53) -> 80.183.224.164(51049), 1 packet
001328: .Oct 21 00:08:38.935 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 212.216.112.112(53) -> 80.183.224.164(50742), 1 packet

mentre dai PC in lan riesco a risolvere i DNS

Codice: Seleziona tutto

zot@zotnbk:~$ ping google.it
PING google.it (72.14.221.104) 56(84) bytes of data.
64 bytes from fg-in-f104.google.com (72.14.221.104): icmp_seq=1 ttl=242 time=71.2 ms
64 bytes from fg-in-f104.google.com (72.14.221.104): icmp_seq=2 ttl=242 time=68.8 ms
64 bytes from fg-in-f104.google.com (72.14.221.104): icmp_seq=3 ttl=242 time=66.9 ms
64 bytes from fg-in-f104.google.com (72.14.221.104): icmp_seq=4 ttl=242 time=66.9 ms
64 bytes from fg-in-f104.google.com (72.14.221.104): icmp_seq=5 ttl=242 time=69.4 ms
64 bytes from fg-in-f104.google.com (72.14.221.104): icmp_seq=6 ttl=242 time=69.2 ms

e sopprattutto perchè non mi si autentica il mio ATA 186 ?

Codice: Seleziona tutto

001307: .Oct 20 23:54:59.198 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 83.211.227.21(5060) -> 80.183.224.164(1176), 55 packets
001316: .Oct 20 23:59:59.201 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 83.211.227.21(5060) -> 80.183.224.164(1176), 11 packets

Inviato: **mar 21 ott , 2008 7:58 am**

ottengo questo?
Codice:

001318: .Oct 21 00:02:59.203 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 151.99.125.1(53) -> 80.183.224.164(58559), 2 packets
001319: .Oct 21 00:02:59.203 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 151.99.250.2(53) -> 80.183.224.164(53022), 2 packets
001320: .Oct 21 00:03:59.204 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 208.67.222.222(53) -> 80.183.224.164(51500), 2 packets
001324: .Oct 21 00:08:11.898 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 151.99.125.1(53) -> 80.183.224.164(57802), 1 packet
001326: .Oct 21 00:08:20.914 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 151.99.250.2(53) -> 80.183.224.164(51049), 1 packet
001328: .Oct 21 00:08:38.935 ROMA: %SEC-6-IPACCESSLOGP: list 131 denied udp 212.216.112.112(53) -> 80.183.224.164(50742), 1 packet

Cosi a naso sembra che sta acl ce l' hai in ingresso sulla pubblica , giusto???
IMVHO te li droppa perche' stai permettendo richieste entranti(dport 53) e non risposte entranti(sport 53).

fammi sape,
ciao.

Inviato: **gio 23 ott , 2008 11:30 am**

Se la risoluzione DNS dalla LAN funziona forse ci sonodelle limitazioni per quanto riguarda i pacchetti generati direttamente dal router... sembra che l'ACl non rispetti le caratteristiche staful e non apra in automatico al ritorno dei pacchetti di ritorno dai DNS permessi. Bisogna vedere se c'è qualche documento a riguardo. Forse i pacchetti generati dal router non passano per l'ACL quindi non si generano le regole di ritorno. Puoi provare se il ping all'IP di google ti funziona dal router???
Per curisita proverei ad impostare come sorgente del ping un'interfaccia interna....ma non ho idea se la query dns parta dall'indirizzo sorgente del ping ....

L'autenticazione dell'ata è UDP? io non lo so.

Inviato: **sab 08 nov , 2008 11:06 am**

Anche se in ritardo grazie per le risposte......la ACL è in ingresso sulla pubblica.L'ATA x autenticarsi al mio SIP Server usa SIP quindi UDP.Non riesco a cavarci un ragno dal buco......che le ACL dovessero rispettare dei parametri per essere "compatibili" con IP inspect non lo sapevo e ,cmq,non ho trovato documentazione a riguardo.....per ora ho tirato giù ACL e Ip inspect....che tanto a casa mia oramai siamo tutti UNIX/LINUX .....ma mi ci debbo rimettere...

Inviato: **mar 20 gen , 2009 5:08 pm**

ciao, con l'ip inspect bisogna stare attenti...
potresti dirmi cortesemente l'impostazione dell'inspect lato interfacce di rete? te lo chiedo semplicemente perché l'inspect effettua il controllo del flusso di dati partendo dal presupposto che le acl siano in uno stato di permit. Difatti prima il traffico viene esaminato dall acl se l'acl lo fa passare l'inspect annota diversi parametri della connessione (windowing, flags, etc.) per controllarne lo stato. Difatti non ci interessa se lato wan abbiamo delle acl deny perché l'inspect creerà delle acl temporanee che permetteranno il passaggio SOLO dei pacchetti che matchano con la connection state table. Se tu configuri ip inspect FW in sulla wan il firewall ios non riuscirà a monitorarne lo stato perché non vede la "partenza " dei pacchetti buona norma è configurare l'inspect in su interfaccia trusted o out su untrusted.

Inviato: **mar 20 gen , 2009 5:46 pm**

Guarda qua zot http://www.ciscoforums.it/viewtopic.php?t=10037

Inviato: **gio 22 gen , 2009 7:56 pm**

Vabbè ho capito mi ci debbo rimettere sù....
Ahhh vedete, da quando a casa siamo tutti carrozzati *NIX ,non me ne è fregato + nulla di ACL e ip inspect sul mio fido 837

CiscoForums.it

Mi sono rotto di combatterci....aiutatemi

Mi sono rotto di combatterci....aiutatemi