878 aprire porte su ip pubblici

Configurazioni per connettività ADSL, ISDN e switch per privati e piccole network

Moderatore: Federico.Lagni

Rispondi
Send
Cisco fan
Messaggi: 28
Iscritto il: ven 10 giu , 2011 9:07 pm

Se ho ben capito per aprire una porta su un indirizzo ip pubblico dovrebbe bastare:

Codice: Seleziona tutto

ip nat inside source static tcp 192.168.xx.xx 80 interface fastethernet0
eppure così facendo mando solo in blocco la connessione sull'indirizzo prescelto :cry:
mi sa che mi tocca lavorare sulle access list vero?

Codice: Seleziona tutto

version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname GATE_01
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
ip subnet-zero
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 10.10.10.1
!
ip dhcp pool sdm-pool
   import all
   network 109.168.xxx.xxx 255.255.255.xxx
   default-router 109.168.xxx.xxx
   dns-server 212.97.xxx.xxx
   lease 0 2
!
!
no ip domain lookup
ip domain name yourdomain.com
!
!
crypto pki trustpoint TP-self-signed-1197312764
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1197312764
 revocation-check none
 rsakeypair TP-self-signed-1197312764
!
!
crypto pki certificate chain TP-self-signed-1197312764
 certificate self-signed 01 nvram:IOS-Self-Sig#340F.cer
username send privilege 15 secret 5 $1$PEWd$P3UdS3fNBR/Wz07uLvjSC0
!
!
controller DSL 0
 mode atm
 line-term cpe
 line-mode 2-wire line-zero
 dsl-mode shdsl symmetric annex B
 line-rate auto
!
!
!
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface ATM0
 no ip address
 no atm ilmi-keepalive
!
interface ATM0.1 point-to-point
 ip address 109.168.xx.xxx 255.255.255.xxx
 pvc 10/35
  encapsulation aal5snap
 !
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description WAN KQI
 ip address 109.168.xxx.xx 255.255.255.xxx
 ip tcp adjust-mss 1452
!
ip classless
ip route 0.0.0.0 0.0.0.0 ATM0.1
!
no ip http server
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
!
control-plane
Top
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

Send ha scritto:Se ho ben capito per aprire una porta su un indirizzo ip pubblico dovrebbe bastare:

Codice: Seleziona tutto

ip nat inside source static tcp 192.168.xx.xx 80 interface fastethernet0

network 109.168.xxx.xxx 255.255.255.xxx
default-router 109.168.xxx.xxx
dns-server 212.97.xxx.xxx
lease 0 2
!
!
interface ATM0.1 point-to-point
ip address 109.168.xx.xxx 255.255.255.xxx
pvc 10/35
encapsulation aal5snap
!
interface Vlan1
description WAN KQI
ip address 109.168.xxx.xx 255.255.255.xxx
ip tcp adjust-mss 1452
!
control-plane[/code]
I tuoi indirizzi interni sono gia' pubblici. A cosa ti serve fare NAT? Non hai abbstanza
indirizzi pubblici?

Cosa stai cercando di fare? se proprio vuoi NATtare per qualche motivo,
mi aspetterei

ip nat source inside static tcp (indirizzo interno) (porta) interface ATM0.1 (porta)

ma direi di lasciare stare l'intero discorso NAT: non ti serve, perche' hai
gli indirizzi pubblici interni. supponendo che siano raggiungibili. e se non lo sono,
perche' li hai?
Top
Send
Cisco fan
Messaggi: 28
Iscritto il: ven 10 giu , 2011 9:07 pm

I tuoi indirizzi interni sono gia' pubblici. A cosa ti serve fare NAT? Non hai abbstanza
indirizzi pubblici?
No no anzi avanzano anche!

ma direi di lasciare stare l'intero discorso NAT: non ti serve, perche' hai
gli indirizzi pubblici interni. supponendo che siano raggiungibili. e se non lo sono,
perche' li hai?
allora io ho l'indirizzo 109.168.xxx.xx1 a cui devo rendere raggiungibili la porta 80 - 25 - 143
e su 109.168.xxx.xx2 le porte 80 e 21 però mi stò accorgendo ora cge questi due ip navigano su intenet tranquillamente ma non sono pingabili dall'esterno!
Top
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

Send ha scritto:
I tuoi indirizzi interni sono gia' pubblici. A cosa ti serve fare NAT? Non hai abbstanza
indirizzi pubblici?
No no anzi avanzano anche!

ma direi di lasciare stare l'intero discorso NAT: non ti serve, perche' hai
gli indirizzi pubblici interni. supponendo che siano raggiungibili. e se non lo sono,
perche' li hai?
allora io ho l'indirizzo 109.168.xxx.xx1 a cui devo rendere raggiungibili la porta 80 - 25 - 143
e su 109.168.xxx.xx2 le porte 80 e 21 però mi stò accorgendo ora cge questi due ip navigano su intenet tranquillamente ma non sono pingabili dall'esterno!
I tuoi indirizzi interni e esterni sono su subnet diverse, no?

Se hai indirizzi pubblici interni non devi fare niente per "aprire" le porte.
Top
Send
Cisco fan
Messaggi: 28
Iscritto il: ven 10 giu , 2011 9:07 pm

ehmmm scusa notavo ora che sulla macchina in questione non avevo configurato il firewall :oops:

Una curiosità, lo ammetto banale, visto che non mi fido molto del firewall integrato in server 2008, mi consigli di impostare qualche regola direttamente dal router?
Top
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

Leggendo i tuoi altri messaggi vedo che i tuoi indirizzi interni sono
109.168.50.217 sul router
.218, .219,.220,.221,.222 su eventuali altre cose (.216 e .224 non utilizzabili)

se faccio traceroute verso i tuoi indirizzi interni arrivo a 109.168.49.198,
l'indirizzo esterno del tuo router. quindi il tuo ISP manda questa roba a te.
o la stai bloccando sul router o la stanno bloccando le tue "eventuali altre cose", direi.

stai usando access-list o ip inspect o ZBFW o qualcosa del genere? stai usando firewall
sulle "eventuali altre cose"?

a me sembra raggiungibile 109.168.50.220

se fossi in te metterei qualcosa su "line vty 0 4" per limitare l'accesso al router...


ghira> nmap 109.168.50.216/29

Starting Nmap 4.20 ( http://insecure.org ) at 2011-06-24 09:09 BST
Interesting ports on 217.50.168.109.dsl.static.ip.kpnqwest.it (109.168.50.217):
Not shown: 1694 closed ports
PORT STATE SERVICE
22/tcp open ssh
23/tcp open telnet
1666/tcp open netview-aix-6

Interesting ports on 220.50.168.109.dsl.static.ip.kpnqwest.it (109.168.50.220):
Not shown: 1687 closed ports
PORT STATE SERVICE
25/tcp open smtp
33/tcp open dsp
80/tcp open http
110/tcp open pop3
125/tcp open locus-map
135/tcp open msrpc
139/tcp open netbios-ssn
143/tcp open imap
445/tcp open microsoft-ds
3306/tcp open mysql
Top
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

Send ha scritto:ehmmm scusa notavo ora che sulla macchina in questione non avevo configurato il firewall :oops:

Una curiosità, lo ammetto banale, visto che non mi fido molto del firewall integrato in server 2008, mi consigli di impostare qualche regola direttamente dal router?
assolutamente si'.

(i) metti qualcosa su line vty 0 4 per limitare l'accesso al router stesso
(ii) metti o ip inspect o zbfw, secondo i gusti, per limitare il traffico in entrata.
Top
Send
Cisco fan
Messaggi: 28
Iscritto il: ven 10 giu , 2011 9:07 pm

grazie mi documento un pò e ti faccio sapere! :mrgreen:
Top
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

Send ha scritto:grazie mi documento un pò e ti faccio sapere! :mrgreen:
metti qualcosa su line vty 0 4 perche' ti garantisco che svariate persone in tutto il mondo
stanno cercando di entrare nel tuo router. per lo piu' cinesi.
Top
Send
Cisco fan
Messaggi: 28
Iscritto il: ven 10 giu , 2011 9:07 pm

Bene vediamo cosa ho combinato:

In primis mi creo una access-list

Codice: Seleziona tutto

access-list 22 remark --- TELNET ACL ---
access-list 22 permit 109.168.50.220 255.255.255.248
e la applico al vty 0 4

Codice: Seleziona tutto

line vty 0 4 
access-list 22 in
in questo modo non è più possibile telnettare da remoto (ma non ho provato dall' ip della access-list al momento)
mi sorge solo un dubbio lanciando show conf
!
access-list 22 remark --- TELNET ACL ---
access-list 22 permit 0.0.0.4 255.255.255.248
se ho ben capito access-list accetta un range di ip da includere nella lista di ip da permettere giusto?


P.s. Parli in senso lato per gli accessi da parte di cinesi? no perchè sulla vecchia linea era una costante, mi ritrovavo sempre migliaia di tentati accessi sul servizio ftp da un indirizzo del Guandong, quassi peggio del malefico malware di wordpress :shock:
Top
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

Send ha scritto:Bene vediamo cosa ho combinato:

In primis mi creo una access-list

Codice: Seleziona tutto

access-list 22 remark --- TELNET ACL ---
access-list 22 permit 109.168.50.220 255.255.255.248
mi sa che come maschera vuoi invece 0.0.0.7
Top
Send
Cisco fan
Messaggi: 28
Iscritto il: ven 10 giu , 2011 9:07 pm

non ti seguo scusa ma access-list come l'ho inserito io non dovrebbe abiliatre l'accesso solo a quell'ip?
Top
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Send ha scritto:non ti seguo scusa ma access-list come l'ho inserito io non dovrebbe abiliatre l'accesso solo a quell'ip?
No. Nelle ACL, come detto da ghira, non viene usata la netmask ma il wildcard mask (complementare).
per fare che solo quel IP quest'ultima deve essere 0.0.0.0
Ciao
Non cade foglia che l'inconscio non voglia (S.B.)
Top
Rispondi

Torna a “Configurazioni End User”