Un saluto a tutti, non riesco a trovare una regola x fare telnet dalla rete interna, mi spiego meglio
ho un'unica access-list applicata all’interfaccia dialer 0 con access-group in,
nell access-list ho la classica
access-list 131 remark *** ACL ANTI-SPOOFING ***
access-list 131 deny ip host 0.0.0.0 any log
access-list 131 deny ip host 255.255.255.255 any log
access-list 131 deny ip 192.0.2.0 0.0.0.255 any log
access-list 131 deny ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny ip 192.168.0.0 0.0.255.255 any log
access-list 131 deny ip 127.0.0.0 0.255.255.255 any log
ho inserito anche quella x il telnet
access-list 131 remark *** ACL PER SSH e TELNET ***
access-list 131 permit tcp any any eq 22 log
access-list 131 permit tcp any any eq telnet log
line vty 0 4
access-class 131 in
password 7 xxxxxxxxxxxxxxxxx
login
da remoto riesco a fare telnet , ma dalla rete interna no, visto che la mia rete è 192.168.1.0,probabilmente l’acl atnti-spoofing -access-list 131 deny ip 192.168.0.0 0.0.255.255 any log- mi blocca ,infatti vedo i matches aumentare ogni volta che tento telnet da rete interna.
Come potrei fare?
Un grazie anticipato a voi tutti.
telnet rete interna
Moderatore: Federico.Lagni
-
lorbellu
- Network Emperor
- Messaggi: 313
- Iscritto il: gio 25 ott , 2007 6:14 pm
Ciao,
Non so che rete interna hai ma il fatto che tra le prime righe della ACL (quindi PRIMA che tu permetta il telnet da qualsiasi indirizzo), compaiano le regole di deny di tutte le possibili reti private (10/8, 172.16/20 e 192.168/16) fa si che tu non renda possibile il telnet dall'interno ma solo dall'esterno.
Ricostrudendo la tua ACL infatti abbiamo:
Prova ad impostare un permit al posto del deny per la tua rete. Per farlo ti ricordo che devi reinserire TUTTA la ACL in quanto le modifiche vengono interpretate solo come aggiunte in coda, pertanto fai un bel no access-list 131 e poi la reinserisci così
Basta questo in quanto implicitamente (non lo vedi ma c'è) al termine della ACL viene immesso in automatico un bel deny ip any any che blocca tutto ciò che non é preventivamente permesso. A tal proposito ti prego di riflettere sulla scelta di permettere a tutto il mondo l'accesso in telnet, fossi in te lo permetterei solo alla rete interna (access-list 131 permit tcp 192.168.0.0 0.0.0.255 any eq telnet)
Saluti
Non so che rete interna hai ma il fatto che tra le prime righe della ACL (quindi PRIMA che tu permetta il telnet da qualsiasi indirizzo), compaiano le regole di deny di tutte le possibili reti private (10/8, 172.16/20 e 192.168/16) fa si che tu non renda possibile il telnet dall'interno ma solo dall'esterno.
Ricostrudendo la tua ACL infatti abbiamo:
Pertando supponendo che la tua rete interna sia la classica 192.168.0.0/24, non puoi raggiungere il telnet in quanto la ACL ti blocca alla riga 6. Viceversa arrivando da internet non matchi nessuna regola fino alla riga 9 dove permetti il telnet al mondo intero.access-list 131 deny ip host 0.0.0.0 any log
access-list 131 deny ip host 255.255.255.255 any log
access-list 131 deny ip 192.0.2.0 0.0.0.255 any log
access-list 131 deny ip 224.0.0.0 31.255.255.255 any log
access-list 131 deny ip 10.0.0.0 0.255.255.255 any log
access-list 131 deny ip 172.16.0.0 0.15.255.255 any log
access-list 131 deny ip 192.168.0.0 0.0.255.255 any log
access-list 131 deny ip 127.0.0.0 0.255.255.255 any log
access-list 131 permit tcp any any eq 22 log
access-list 131 permit tcp any any eq telnet log
Prova ad impostare un permit al posto del deny per la tua rete. Per farlo ti ricordo che devi reinserire TUTTA la ACL in quanto le modifiche vengono interpretate solo come aggiunte in coda, pertanto fai un bel no access-list 131 e poi la reinserisci così
Codice: Seleziona tutto
access-list 131 permit tcp any any eq 22 log
access-list 131 permit any any eq telnet log
Saluti
Lorbellu
-
nat
- Cisco fan
- Messaggi: 70
- Iscritto il: dom 25 nov , 2007 2:18 pm
- Località: ABRUZZO
Innanzitutto grazie x la risposta, ho bisogno di gestire da remoto il router,quindi cercavo il modo il più possibile sicuro. Per quanto riguarda il deny ip 192.168.0.0 0.0.255.255,come ho supposto,mi blocca il telnet da rete interna, ma essendo una regola anti-spoofing,cioè attacchi in rete che si basano sulla falsificazione fraudolenta degli indirizzi d’origine,x sicurezza dovrei averlo,quindi cerco un’altra soluzione. Forse, ma non ne sono sicuro, potrei togliere tutte le regole anti-spoofing, attivando l’RPF unicast riverse path forwarding, cioè attivando ip cef e sotto l’interfaccia d’ingresso ip verify unicast reverse-path.Così facendo se all’indirizzo sorgente non è associata una route nella “cef table” esso viene scartato. http://www.cisco.com/en/US/docs/ios/12_ ... cfrpf.html
Cosa ne pensate? Ciao lorbellu.
Cosa ne pensate? Ciao lorbellu.
